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内 容 简 介 
本 书 是 获得 大 量 读者 好 评 的 Linux 经 典 图 书 《Linux 服务 器 架设 指南 》 的 第 2 版 。 本 书 第 1 版 出 版 后 


获得 了 读者 的 高 度 评价 ， 被 ChinaUNIX 技术 社 


区 所 推荐 。 第 2 版 图 书 以 Red Hat Enterprise Linux 6 为 例 ， 


详细 叙述 了 各 种 网 络 服务 的 安装 、 运 行 、 配 置 方法 和 一 些 相关 的 知识 。 

全 书 共 23 章 ， 分 为 3 篇 。 涵 盖 的 内 容 有 网 络 硬件 基础 知识 、Linux 操作 系统 管理 、 主 机 与 网 络 安全 
措施 、 防 火 墙 、 入 侵 检测 系统 ， 以 及 Telnet、SSH、VNC、FTP、DHCP、DNS、Web、MySQL、Postfix、 
NFS、Samba、Squid、LDAP、NTP、VPN， 以 及 流 媒体 服务 器 架设 的 方法 。 

本 书 附 带 1 张 光盘 ,为 本 书 重 点 内 容 的 配套 教学 视频 。 另 外 ， 本 书 还 为 读者 提供 了 大 量 的 Linux 学 习 
资料 和 Ubuntu 安装 镜像 文件 ， 供 读者 下 载 学 习 。 

本 书 语言 通俗 、 条 理 清楚 、 循 序 渐进 、 示 例 丰 富 ， 适 合 于 已 经 掌握 Linux 操作 系统 入 门 知识 ， 并 对 网 
络 应 用 有 初步 了 解 的 读者 阅读 ， 也 可 以 供 Linux 系统 管理 、 维 护 、 开 发 人 员 学 习 参 考 ， 同 时 也 是 各 类 职业 
院 校 、IT 培训 机 构 的 学 生 学 习 和 掌握 Linux 高 级 应 用 的 理想 教材 。 
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Linux 是 一 种 开放 源 代码 的 免费 操作 系统 。 自 它 诞生 以 来 ， 在 全 世界 Linux 爱好 者 的 
共同 努力 下 ， 其 性 能 不 断 完善 ， 具 有 稳定 、 安 全 、 网 络 负载 力 强 、 占 用 硬件 资源 少 等 技术 
特点 ， 得 到 了 迅速 推广 和 应 用 。 它 已 发 展 成 为 当今 世界 的 主流 操作 系统 之 一 。 

除了 作为 桌面 系统 使 用 外 ，Linux 在 服务 器 领域 更 是 得 到 了 广泛 的 应 用 。 目 前 ，Linux 
系统 在 服务 器 市 场 上 的 占有 率 接近 30%， 是 占有 率 最 高 的 操作 系统 。 很 多 企业 、 行 政事 业 
单位 把 自己 的 关键 业务 构建 在 Linux 服务 器 平台 上 ， 在 实践 应 用 中 证 明了 Linux 操作 系统 
不 仅 拥 有 商业 操作 系统 所 具备 的 性 能 ， 而 且 在 保护 信息 安全 、 充 分 利用 硬件 资源 、 成 本 等 
方面 具有 优良 的 特性 。 

本 书 是 获得 了 大 量 读者 好 评 的 “Linux 典藏 大 系 ” 中 的 《Linux 服务 器 架设 指南 》 的 第 
2 版 。 为 了 使 读者 能 够 了 解 并 掌握 网 络 服务 器 架设 的 最 新 技术 ， 第 2 版 以 最 新 的 Red Hat 
Enterprise Linux 6 为 基础 ， 详 细 介绍 在 Linux 操作 系统 上 构建 各 种 最 新 版 本 的 网 络 服务 的 
方法 。 本 书 实践 性 强 ， 读 者 完全 可 以 把 所 学 的 知识 直接 在 实际 项 目 中 使 用 。 


关于 “Linux 典藏 大 系 ” 


“Linux 典藏 大 系 ” 是 清华 大 学 出 版 社 自 2010 年 1 月 以 来 陆续 推出 的 一 个 图 书 系 列 ， 
截止 2012 年 6 月 ， 已 经 出 版 了 10 余 个 品种 。 该 系列 图 书 涵盖 了 Linux 技术 的 方方面面 ， 
可 以 满足 各 个 层次 和 各 个 领域 的 读者 学 习 Linux 技术 的 需求 。 该 系列 图 书 自 出 版 以 来 获得 
了 广大 读者 的 好 评 ， 已 经 成 为 了 Linux 图 书市 场 上 最 炊 眼 的 明星 品牌 。 其 销量 在 同类 图 书 
中 也 名 列 前 茅 ， 其 中 一 些 图 书 还 获得 了 “51CTO 读书 频道 ”颁发 的 “最 受 读者 喜爱 的 原创 
IT 技术 图 书 奖 ”。 该 系列 图 书 在 出 版 过 程 中 也 得 到 了 国内 Linux 领域 最 知名 的 技术 社区 
ChinaUnix〈 简 称 CU) 的 大 力 支 持 和 帮助 ， 读 者 在 CU 社区 中 就 图 书 的 内 容 与 活跃 在 CU 
社区 中 的 Linux 技术 爱好 者 进行 广泛 交流 ， 取 得 了 良好 的 学 习 效 果 。 


关于 本 书 第 2 版 


本 书 第 1 版 出 版 后 深 受 读者 好 评 ， 并 被 ChinaUNIX 技术 社区 所 推荐 。 但 是 随 着 Linux 
技术 的 发 展 ， 本 书 第 1 版 的 内 容 与 Linux 各 个 新 版 本 有 一 定 出 入 ， 这 给 读者 的 学 习 造 成 了 
一 些 不 便 。 应 广大 读者 的 要 求 ， 我 们 结合 Linux 技术 的 最 新 发 展 推出 第 2 版 图 书 。 相 比 第 
1 版 ， 第 2 版 图 书 在 内 容 上 的 变化 主要 体现 在 以 下 几 个 方面 : 

(1) RHEL 版 本 从 5 升级 为 6.3; 

(2) 系统 安装 和 初始 配置 有 所 改变 ; 

(3) 大 量 的 服务 取消 了 图 形 界面 管理 方式 ; 

(4) DHCP 等 服务 配置 方式 改变 ; 
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(5) 修订 了 第 1 版 中 的 一 些 疏 漏 ， 并 将 一 些 表达 不 准确 的 地 方 加 以 完善 。 
本 书 有 何 特色 


1. 配 视频 讲解 光盘 
由 于 服务 器 架设 涉及 很 多 具体 操作 ， 所 以 作者 专门 录制 了 大 量 语音 视频 进行 讲解 ， 读 
者 可 以 按照 视频 讲解 很 直观 地 学 习 ， 学 习 效果 好 。 这 些 视 频 收录 于 本 书 配 书 光盘 中 。 
2. 力争 把 最 新 的 内 容 呈 现 给 读者 
由 于 计算 机 网 络 技术 的 飞速 发 展 ， 各 种 网 络 服务 器 软件 的 版 本 也 在 不 断 地 更 新 ， 有 些 
新 版 本 软件 的 功能 和 配置 方法 与 旧版 本 相 比 有 了 很 大 的 变化 。 本 书 在 讲解 如 何 架 设 服务 器 
时 ， 尽 量 使 用 各 种 软件 最 新 的 稳定 版 ， 以 便 能 最 大 限度 地 延长 本 书 的 使 用 寿命 。 

3. 注重 协议 知识 的 讲解 

本 书 不 仅 讲解 各 种 服务 器 的 架设 实务 ， 而 且 对 与 这 种 服务 相关 的 知识 ， 特 别 是 协议 标 
准 做 了 深入 浅 出 的 讲解 ， 使 读者 不 仅 知 其 然 ， 而 且 知 其 所 以 然 。 这 对 深入 理解 网 络 服务 ， 
解决 服务 器 运行 过 程 中 出 现 的 故障 非常 有 帮助 。 

4. 实践 性 强 ， 示 例 丰 富 

架设 网 络 服务 器 是 一 门 实践 性 非常 强 的 技术 。 本 书 特 别 注重 通过 实际 例子 进行 讲解 ， 
以 便 读者 更 快 、 更 容易 地 理解 与 接受 。 书 中 所 提供 的 实例 非常 丰富 ， 并 且 这 些 实例 可 操作 
性 很 强 ， 已 经 过 严格 的 测试 ， 读 者 可 以 直接 练习 使 用 。 

5. 本 书 内 容 力求 权威 

由 于 网 络 服务 器 软件 的 版 本 、 运 行 的 操作 系统 平台 众多 ， 各 种 资料 、 手 册 对 某 些 细节 
的 描述 往往 不 一 致 ， 有 时 候 差别 还 很 大 。 本 书 的 内 容 大 部 分 都 直接 来 源 于 最 原始 的 英文 
RFC 文档 、 软件 的 随机 帮助 手册 页 等 资料 , 对 于 一 些 在 其 他 资料 中 叙述 不 一 致 的 技术 细节 ， 
更 是 反复 与 权威 资料 进行 核对 。 


本 书 内 容 体系 


第 1 篇 预备 知识 (第 1~5 章 ) 

本 篇 主要 内 容 包 括 网 络 硬件 知识 、Linux 服务 器 架设 规划 、Linux 系统 的 安装 、 管 理 与 
优化 、Linux 网 络 接 口 配置 ， 以 及 Linux 网 络 管理 与 故障 诊断 等 。 通 过 本 篇 的 学 习 ， 读 者 
可 以 掌握 在 Linux 平台 下 完成 与 Windows 下 相同 工作 的 方法 。 

第 2 篇 Linux 主机 与 网 络 安全 措施 〈 第 6~10 章 ) 

本 篇 主要 内 容 包括 Linux 主机 安全 、Linux 系统 日 志 、Linux 路 由 配置 、Linux 防火 墙 
配置 ， 以 及 Snort 入 侵 检 测 系统 等 内 容 。 通 过 本 篇 的 学 习 ， 读 者 可 以 掌握 如 何 使 自己 的 计 
算 机 更 加 安全 。 

第 3 篇 Linux 常见 服务 器 架设 篇 (第 11-23 章 ) 

本 篇 主要 内 容 包 括 远程 管理 Linux、 架 设 FTP 服务 器 、DHCP 服务 、DNS 服务 器 架设 
与 应 用 、Web 服务 器 架设 和 管理 、MySQL 数据 库 服 务 器 架设 、Postfix 邮件 服务 器 架设 、 
共享 文件 系统 、Squid 代理 服务 器 架设 、LDAP 服务 的 配置 与 应 用 、 网 络 时 间 服 务 器 的 配置 
与 使 用 、 架 设 VPN 服务 器 ， 以 及 流 媒 体 服务 器 架设 等 内 容 。 通 过 本 篇 的 学 习 ， 读 者 可 以 掌 
握 如 何 架 设 各 种 服务 器 并 且 实 现 它们 的 功能 。 
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适合 阅读 本 书 的 读者 


口 网 络 管理 与 维护 人 员 ; 

口 网 络 规划 与 设计 人 员 ; 

口 网 络 实务 爱好 者 ; 

口 各 类 大 中 专 及 职业 院 校 的 学 生 ; 


口 参加 IT 培训 的 学 员 。 
关于 作者 


本 书 主要 由 林 天 峰 和 谭 志 彬 编写 。 其 他 参与 本 书 编写 的 人 员 有 吴 万 军 、 项 延 铁 、 谢 邦 
铁 、 许 黎民 、 薛 在 军 、 杨 佩 璐 、 杨 习 伟 、 于 洪亮 、 张 宝 梅 、 张 功 勤 、 张 建华 、 张 建 志 、 张 
敬 东 、 张 倩 、 张 庆 利 、 赵 剑 川 、 赵 薇 、 郑 强 、 周 静 、 朱 盛 鹏 、 祝 明慧 、 张 唱 晶 。 在 此 一 并 
表示 感谢 ! 

虽然 我 们 对 书 中 所 述 的 内 容 都 尽量 予以 核实 ， 并 多 次 进行 文字 校对 ， 但 因 时 间 所 限 ， 
可 能 还 存在 疏 漏 和 不 足 之 处 ， 恳 请 读者 批评 指正 。 
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第 1 章 ”网络 硬件 知识 


计算 机 网 络 是 由 各 种 复杂 的 硬件 设备 和 软件 组 成 的 。 其 中 ， 有 关 局 域 网 的 规划 、 安 装 
和 维护 管理 等 是 平常 接触 最 多 的 内 容 。 除 了 计算 机 网 络 的 基本 概念 外 ， 本 章 主要 介绍 有 关 
局 域 网 的 硬件 基础 ， 包 括 传输 介质 、 联 网 设备 ， 以 及 常见 的 局 域 网 架设 等 内 容 。 


1.1 计算 机 网 络 


计算 机 网 络 已 经 逐渐 成 为 人 们 工作 生活 中 不 可 缺少 的 设施 之 一 。 目 前 ， 人 们 通过 以 
Intemet 为 代表 的 计算 机 网 络 ， 可 以 实现 获取 信息 、 远 程 交流 、 收 发 电子 邮件 、 在 线 娱乐 游 
戏 等 功能 。 本 节 主 要 介绍 有 关 计算 机 网 络 的 基础 知识 ， 包 括 计 算 机 网 络 的 定义 、 功 能 和 分 
类 等 。 


1.1.1 计算 机 网 络 的 定义 


计算 机 网 络 是 指 将 地 理 位 置 分 散 、 具 有 独立 功能 的 多 台 计 算 机 系统 用 通信 设备 和 通信 
线路 连接 起 来 ， 在 网 络 操作 系统 、 通 信 协 议 以 及 网 络 管理 软件 的 管理 协调 下 ， 实 现 资源 共 
享 、 信 息 传递 的 一 种 信息 系统 。 

从 广义 上 来 讲 ， 可 以 认为 计算 机 网 络 是 计算 机 技术 与 通信 技术 的 结合 ， 目 的 是 为 了 实 
现 远程 信息 处 理 和 资源 共享 。 按 照 这 一 观点 ，20 世纪 50 年 代 出 现 的 “终端 一 一 计算 机 ” 
和 20 世纪 60 年 代 出 现 的 “计算 机 一 一 计算 机 ”都 属于 计算 机 网 络 。 这 种 观点 主要 是 从 计 
算 机 通信 的 意义 上 看 待 计算 机 网 络 。 

从 资源 共享 的 角度 来 说 ， 可 以 把 计算 机 网 络 理解 为 “以 能 够 相互 共享 资源 《硬件 、 软 
件 和 数据 ) 的 方式 连接 起 来 ， 并 且 各 自 具备 独立 功能 的 计算 机 系统 的 集合 体 ”。 这 个 定义 是 
由 美国 信息 处 理学 会 联合 会 在 1970 年 春天 举行 的 联合 会 议 上 提出 来 的 , 它 认 为 只 有 具备 独 
立功 能 的 计算 机 才 是 网 络 中 的 单元 。 因 此 ， 把 “终端 一 一 计算 机 ”这 种 连接 形式 排除 在 计 
算 机 网 络 范 围 之 外 。 

从 用 户 透 明 性 的 角度 出 发 ， 可 以 把 计算 机 网 络 定义 为 “由 一 个 网 络 操作 系统 自动 管理 
j 户 任务 所 需 的 资源 ， 从 而 使 整个 网 络 就 像 一 个 对 用 户 透明 的 计算 机 大 系统 ”。 这 里 的 “ 透 
明 ” 是 指 用 户 觉察 不 到 在 计算 机 网 络 中 存在 多 个 计算 机 系统 ， 用 户 也 不 需要 知道 自己 所 使 
日 的 资源 在 什么 物理 位 置 。 例 如 ， 人 们 使 用 Internet 网 络 时 ， 只 需要 关心 浏览 网 页 、 传 输 
pg 件 等 业务 本 身 的 操作 ， 而 不 需要 关心 网 络 的 工作 过 程 或 者 数据 具体 存放 的 位 置 。 

只 有 两 台 及 两 台 以 上 的 计算 机 才能 构成 计算 机 网 络 ， 一 台 计 算 机 是 不 能 构成 网 络 的 。 
为 了 连接 计算 机 ， 必 须要 有 一 条 物理 通道 ， 即 必须 要 有 传输 媒介 。 计 算 机 通过 物理 媒介 连 
接 后 ， 相 互 之 间 交 换 信息 时 需要 遵循 一 定 的 约定 和 规则 ， 即 通信 协议 。 各 个 厂商 生产 的 网 


和 
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络 产品 都 可 能 有 自己 的 协议 ， 为 了 能 够 实现 网 络 互 连 ， 这 些 协议 应 该 遵循 相同 的 标准 。 
名 说明: 不 同 的 资料 对 计算 机 网 络 的 定义 在 细节 上 有 一 些 区 别 。 


1.1.2 计算 机 网 络 的 功能 


计算 机 网 络 的 产生 打破 了 空间 和 时 间 的 限制 ， 极 大 地 扩展 了 计算 机 的 应 用 范围 ， 解 决 
了 大 容量 信息 的 传输 、 转 接 存储 和 高 速 处 理 的 问题 ， 大 大 增强 了 计算 机 的 处 理 能 力 。 提 高 
了 计算 机 的 可 靠 性 和 可 用 性 ， 使 软 、 硬 件 资源 由 于 能 够 共享 而 充分 发 挥 了 作用 。 

计算 机 网 络 广泛 应 用 于 政治 、 经 济 、 军 事 、 教 育 科研 、 生 产 、 生 活 等 各 个 领域 。 通 过 
计算 机 网 络 ， 人 们 可 以 坐 在 家 中 预订 全 世界 各 地 的 飞机 票 、 火 车 票 。 可 以 实时 了 解 全 世界 
各 地 的 证 券 、 股 市 行情 ， 可 以 对 企业 生产 、 存 储 、 和 运输、 销售、 财务 等 各 个 环节 进行 统一 
管理 。 还 可 以 对 企业 的 经 营 进行 辅助 决策 、 辅 助 计划 等 。 具 体 来 说 ， 计 算 机 网 络 主要 有 以 
下 一 些 功能 。 

1. 数据 通信 

在 现代 社会 中 ， 人 们 需要 的 信息 量 不 断 增加 ， 信 息 交 换 的 需要 也 日 益 频 繁 ， 利 用 计算 
机 网 络 传递 信息 成 为 了 一 种 全 新 的 通信 方式 。 例 如 ， 电 子 邮件 比 现 有 的 通信 工具 有 更 多 的 
优点 ， 在 速度 上 比 传统 邮件 快 得 多 。 另 外 ， 电 子 邮 件 还 可 以 携带 声音 、 图 像 和 视频 ， 实 现 
多 媒体 通信 。 如 果 计 算 机 网 络 覆 盖 的 地 域 范围 足够 大 ， 则 可 使 各 种 信息 通过 电子 邮件 在 全 
国 乃 至 全 球 范围 内 快速 传递 和 处 理 。 

除了 电子 邮件 以 外 ， 即 时 通信 (IM) 是 另 一 种 在 互联 网 上 蓬勃 发 展 的 业务 ， 它 能 够 即 
时 发 送 和 接收 来 自 互联 网 的 消息 。 目 前 ， 即 时 通信 不 再 是 一 个 单纯 的 聊天 工具 。 它 已 经 逐 
渐 集 成 了 电子 邮件 、 博 客 、 音 乐 、 电 视 、 游 戏 和 搜索 等 多 种 功能 ， 发 展 成 集 交 流 、 资 讯 、 
娱乐 、 搜 索 、 电 子 商 务 、 办 公 协 作 和 企业 客户 服务 等 为 一 体 的 综合 化 信息 平台 。 

此 外 ,远程 文件 传输 、 网 络 综合 信息 服务 以 及 电子 商务 等 都 是 利用 计算 机 网 络 进行 数据 
通信 的 例子 。 利 用 计算 机 网 络 的 数据 通信 功能 ， 还 可 以 对 分 散 的 对 象 进行 实时 、 集 中 地 跟踪 
管理 与 监控 , 如 企业 办 公 自 动 化 中 的 管理 信息 系统 , 工厂 自动 化 中 的 计算 机 集成 制造 系统 等 。 


2. 资源 共享 


资源 共享 是 计算 机 网 络 最 基本 的 功能 之 一 ， 也 是 早期 构建 计算 机 网 络 的 主要 目的 。 由 
于 数据 可 以 在 计算 机 之 问 自 由 流动 ， 为 资源 的 共享 提供 了 可 能 。 在 计算 机 网 络 中 ， 资 源 可 
以 包括 软件 资源 、 人 硬件 资源 ， 以 及 要 传输 和 处 理 的 数据 资源 。 

硬件 资源 是 指 处 理 器 、 存 储 ， 以 及 磁盘 、 打 印 机 、 绘 图 仪 等 输入 输出 设备 。 例 如 ， 用 
户 可 以 把 文件 上 传 到 服务 器 ， 以 便 能 使 用 服务 器 的 共享 磁盘 空间 。 或 者 自己 的 计算 机 没有 
安装 打印 机 ， 可 以 通过 网 络 使 用 打印 服务 器 或 其 他 计算 机 上 连接 的 打印 机 。 更 进一步 地 ， 
在 某 些 软件 的 支持 下 , 用户 还 可 以 使 用 其 他 计算 机 上 的 CPU 和 内 存 资源 。 通 过 计算 机 网 络 
进行 硬件 资源 共享 ， 可 以 减少 硬件 设备 的 重复 购置 ， 提 高 设备 的 利用 率 。 

软件 资源 共享 是 指 计算 机 可 以 通过 网 络 使 用 其 他 计算 机 上 安装 的 软件 ， 或 者 那些 软件 
所 提供 的 服务 。 例 如 ， 采 用 客户 端 /服务 器 结构 的 软件 系统 ， 可 以 在 某 一 台 主机 上 安装 服务 
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端 软件 ， 然 后 让 其 他 主机 上 的 客户 端 软件 共同 使 用 。 

数据 资源 共享 是 指 计算 机 可 以 通过 网 络 得 到 以 各 种 形式 存放 的 数据 。 例 如 ， 用 户 通 过 
FTP 下 载 服 务 器 上 的 文件 ， 以 及 通过 某 种 方法 访问 数据 库 中 的 数据 ， 或 者 通过 视频 播放 软 
件 播 放 网 络 上 的 视频 。 这 些 都 是 数据 资源 的 具体 例子 


3. 提高 系统 可 靠 性 


在 一 个 单机 系统 中 ， 如 果 主 机 的 某 个 部 件 或 主机 上 运行 的 软件 发 生 故 障 时 ， 系 统 可 能 
会 停止 工作 。 这 对 于 某 些 应 用 场合 可 能 会 造成 很 大 的 损失 。 有 了 计算 机 网 络 后 ， 由 于 计算 
机 及 各 种 设备 之 间 相 互 连 接 , 当 一 台 机 器 出 现 故 障 时 , 可 以 通过 网 络 寻 找 其 他 机 器 来 代替 ， 
而 且 这 个 过 程 可 以 是 自动 的 ， 对 用 户 来 说 是 透明 的 。 

具体 来 说 ， 计 算 机 网 络 中 的 服务 器 可 以 采用 双 机 热 备 、 负 载 均衡 、 集 群 等 技术 措施 实 
现 资源 元 余 ， 或 者 在 结构 上 实现 动态 重组 。 当 其 中 的 某 个 节点 发 生 故 障 时 ， 其 功能 可 以 由 
网 络 中 的 其 他 节点 来 代替 ， 从 而 大 大 提高 了 计算 机 系统 的 可 靠 性 。 


4. 易于 实现 分 布 式 处 理 


在 计算 机 网 络 中 ， 可 以 将 某 些 大 型 的 处 理 任务 分 解 为 许多 个 小 型 的 任务 ， 然 后 分 配给 
网 络 中 的 多 台 计 算 机 分 别处 理 ， 最 后 再 把 处 理 结果 合成 。 例 如 ， 某 些 计算 量 非 常 巨大 的 科 
学 计算 ， 如 果 仅 仅 使 用 一 台 计 算 机 ， 所 需 的 时 间 将 是 不 可 接受 的 。 此 时 ， 可 以 对 这 个 计算 
进行 分 解 ， 然 后 让 Intemet 上 不 计 其 数 的 计算 机 共同 进行 ， 则 运 各 结果 可 以 很 快 得 到 。 因 
通过 分 布 式 处 理 ， 实 际 上 是 把 许多 处 理 能 力 有 限 的 小 型 机 或 微机 连接 成 具有 大 型 机 处 

能 力 的 高 性 能 计算 机 系统 ， 使 其 具有 解决 复杂 问题 的 能 力 。 

通过 分 布 式 处 理 ， 还 可 以 实现 负载 均衡 的 功能 ， 使 各 种 资源 得 到 合理 的 调整 。 如 果 某 
一 个 节点 的 负载 太 重 了 ， 影 响 了 整个 系统 的 总 体 性 能 ， 系 统 软件 可 以 自动 把 该 节点 的 某 些 
任务 迁移 到 其 他 节点 进行 。 还 有 ， 在 一 个 服务 器 集群 中 ， 系 统 可 以 自动 挑选 负载 较 轻 的 服 
务 器 为 用 户 提供 服务 。 


全 说 明 : 从 网 络 应 用 的 角度 来 看 ， 计 算 机 网 络 功能 还 有 很 多 。 随 着 计算 机 网 络 技术 的 不 断 
发 展 ， 其 功能 也 将 不 断 丰富 ， 各 种 网 络 应 用 也 将 会 不 断 出 现 。 计算机 网 络 已 经 逐 
渐 深入 到 社会 的 各 个 领域 及 人 们 的 日 常生 活 中 ， 改 变 着 人 们 的 工作 、 学 习 、 生 活 


1.1.3 ”计算 机 网 络 分 类 


按照 不 同 的 分 类 标准 ， 可 以 将 计算 机 网 络 分 为 不 同 的 类 型 。 分 类 的 目的 是 为 了 便于 从 
不 同 的 侧面 了 解 不 同 网 络 类 型 的 特点 ， 从 而 选择 和 搭建 更 适合 自己 需求 和 环境 的 网 络 。 最 
常见 的 一 种 分 类 方法 是 按照 网 络 覆 盖 的 地 理 范围 来 分 , 此 时 可 以 把 计算 机 网 络 分 为 局 域 网 、 
城 域 网 和 广域网 3 种 类 型 。 

1. 局 域 网 


局 域 网 也 称 为 LAN (Local Area Network)， 是 指 将 某 一 相对 狭小 区 域内 的 计算 机 ， 按 
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照 某 种 方式 相互 连接 起 来 后 形成 的 计算 机 网 络 。 在 局 域 网 中 , 相互 连接 的 计算 机 相对 集中 ， 
其 地 理 范围 一 般 在 儿 十 米 到 几 千 米 之 间 ， 如 一 个 房间 、 一 幢 楼 或 一 个 企业 这 样 的 范围 。 如 
er 种 典型 的 局 域 网 。 一 般 情况 下 ， 局 域 网 内 的 计算 机 属于 同一 个 部 门 或 

一 个 单位 管辖 ， 以 便 能 对 局 域 网 进行 统一 管理 。 


Do 
dob 


ha Boo Qo be 


图 1-1 局 域 网 示意 图 


局 域 网 具有 较 高 的 网 络 传输 速率 和 较 低 的 误 码 率 。 由 于 局 域 网 内 的 计算 机 之 间距 离 较 
近 ， 计 算 机 数量 相对 较 少 ， 因 此 在 通信 技术 上 可 以 保证 在 较 低 的 误 码 率 的 前 提 下 以 较 高 的 
速度 传输 数据 。 目 前 ， 局 域 网 的 速度 普遍 可 以 达到 100Mbps， 还 有 一 些 局 域 网 可 以 达到 
1 000Mbps， 甚 至 是 10 000Mbps。 

局 域 网 实现 成 本 低 ， 一 般 使 用 价格 低 而 功能 强 的 微型 计算 机 作为 网 络 工作 站 。 局 域 网 
的 安装 、 扩 充 及 维护 都 很 方便 ， 尤 其 是 在 目前 大 量 采 用 的 、 以 交换 机 为 中 心 的 树 型 网 络 结 
构 的 局 域 网 中 ， 扩 充 服务 器 、 工 作 站 都 十 分 方便 ， 而 且 容 错 性 好 。 某 些 站 点 出 现 故障 时 不 
会 影响 其 他 站 点 的 工作 ， 整 个 网 络 仍 可 以 正常 运行 。 

局 域 网 的 结构 非常 灵活 ， 可 以 组 成 总 线 型 、 星 型 、 环 型 和 树 型 等 拓扑 结构 。 局 域 网 还 
支持 多 种 类 型 的 通信 传输 介质 , 根据 网 络 本 身 的 性 能 要 求 , 在 局 域 网 中 可 以 使 用 同 轴 电 缆 、 
双 绞 线 、 光 纤 及 无 线 传输 等 传输 介质 。 

2. 广域网 

广域网 也 称 为 WAN (Wide Area Network), 是 一 个 在 相对 广阔 的 地 理 区 域内 进行 数据 、 
语音 、 图 像 信 息 传输 的 通信 网 络 。 广 域 网 可 以 覆盖 若干 个 城市 、 整 个 国家 ， 甚 至 于 全 球 。 
某 些 专用 网 络 ， 如 飞机 票 售 票 系统 、 全 国 范围 的 政务 系统 等 都 是 广域网 的 例子 。 图 1-2 所 
示 的 就 是 一 种 典型 的 广域网 结构 。 

全 注意 : Internet 虽然 也 是 广域网 的 一 种 ， 但 它 不 是 具有 独立 意义 的 网 络 ， 没 有 统一 的 管 
理 机 构 ， 而 是 将 同类 或 不 同类 的 各 种 物理 网 络 互相 连接 ， 并 通过 上 层 协议 实现 不 

同类 网 络 之 间 的 相互 通信 人。 
广域网 由 于 覆盖 了 广阔 的 地 理 区 域 ， 因 此 不 可 能 像 局 域 网 那样 铺设 专门 的 通信 线路 ， 


。 5。 
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图 1-2 广域网 示意 图 


而 是 大 多 借用 公用 通信 和 网络 (如 PSTN、DDN、ATM 等 )， 因 此 传输 速率 比较 低 。 它 主要 
的 目的 是 实现 远 距 离 计 算 机 之 间 的 数据 传输 和 信息 共享 。 总 的 来 说 , 广域网 具有 以 下 特点 。 
口 覆盖 的 地 理 区域 大 ， 网 络 可 覆盖 市 、 省 、 地 区 、 国 家 甚至 全 球 。 
口 广域网 一 般 借用 公用 通信 和 网络 进行 连接 。 
口 与 局 域 网 相 比 ， 广 域 网 的 传输 速率 比较 低 ， 普 通用 户 的 接 入 速率 一 般 在 64kbps 一 
2Mbps 之 间 。 如 果 通 过 专线 接 入 ， 速 率 也 可 以 达到 100Mbps 以 上 。 
口 网 络 拓扑 结构 非常 复杂 。 


3. 城 域 网 


城 域 网 也 称 为 MAN (Metropolitan Area Network)， 是 一 种 介 于 局 域 网 和 广域网 之 间 的 
计算 机 网 络 ， 其 覆盖 范围 在 几 千 米 至 几 万 米 之 间 ， 大 致 是 一 个 城市 的 范围 。 城 域 网 相当 于 
是 一 个 大 型 的 局 域 网 ， 但 对 网 络 设备 、 传 输 介质 的 要 求 比 局 域 网 要 高 。 


1.2 局 域 网 传输 介质 


局 域 网 是 分 布 在 有 限 地 理 范围 内 的 计算 机 网 络 ， 安 装 时 一 般 要 铺设 专门 的 线路 。 用 于 
局 域 网 的 传输 介质 可 以 有 很 多 ， 主 要 有 双 绞 线 、 同 轴 电 缆 、 光 导 纤维 ， 以 及 无 线 介质 等 类 
型 。 本 节 主要 介绍 这 些 传输 介质 的 特点 、 分 类 、 连 接 以 及 使 用 方法 等 内 容 。 


1.2.1” 双 绞 线 


双 绞 线 也 称 为 TP 〈Twisted Pair)， 是 局 域 网 架设 中 最 为 常用 的 一 种 传输 介质 。 双 绞 线 
是 一 对 相互 绞 合 的 金属 导线 ， 它 们 之 间 相 互 绝缘 ， 这 种 绞 合 方式 可 以 抵御 一 部 分 外 界 电磁 
波 干 扰 ， 更 主要 的 是 降低 自身 信号 对 外 界 的 影响 。 从 电磁 学 原理 来 讲 ， 把 两 根 绝缘 的 铜 导 
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线 按 一 定 密度 互相 绞 在 一 起 ， 每 一 根 导线 在 传输 信号 的 过 程 中 ， 辐 射 的 电波 会 被 另 一 根 导 
线 上 辐射 的 电波 抵消 ， 从 而 降低 信号 干扰 的 程度 。 


1. 双 绞 线 的 构成 


局 域 网 中 使 用 的 双 绞 线 一 般 由 两 根 22 至 26 号 绝缘 铜 导线 相互 缠绕 而 成 .实际 使 用 时 ， 
一 般 把 多 对 双 绞 线 包 在 一 个 绝缘 电缆 套 管内 , 如 图 1-3 所 示 。 
因此 从 外 观 上 看 ， 只 能 看 到 双 绞 线 的 灰色 套 管 ， 也 称 为 双 绞 
线 电缆 。 市场 上 见 到 的 普通 的 双 绞 线 电缆 一 般 都 是 4 对 双 绞 
线 ， 实 际 上 也 有 更 多 对 的 双 绞 线 放 在 一 个 电缆 套 管 里 。 

双 绞 线 的 扭 绞 程 度 对 双 绞 线 的 抗 干 扰 能 力 非 常 重要 。 单 
位 长 度 上 的 扭 绞 越 多 ， 抗 干扰 能 力 就 越 强 。 不 同 线 对 有 具有 不 
同 的 扭 绞 长 度 。 一 般 地 说 ， 扭 绞 长 度 在 14cm 至 38.1cm 内 ， 图 1-3” 双 绞 线 实物 图 
按 逆 时 针 方 向 扭 绞 。 相 邻 线 对 的 扭 绞 长 度 在 12.7cm 以 上 。 

与 其 他 传输 介质 相 比 ， 双 绞 线 在 传输 距离 、 信 道 宽度 和 数据 传输 速度 等 方面 均 受到 一 
定 限制 ， 但 价格 较为 低廉 ， 因 此 还 是 得 到 了 广泛 的 使 用 。 特 别 是 在 星 型 和 树 型 网 络 拓扑 结 
构 中 ， 双 绞 线 更 是 不 可 缺少 的 布线 材料 。 

除了 按 电缆 套 管内 所 包含 的 双 绞 线 根 数 来 分 类 外 ， 双 绞 线 还 可 以 按 是 否 具 有 屏蔽 层 而 
分 为 屏蔽 双 绞 线 (Shielded Twisted Pair，STP) 与 非 屏蔽 双 绞 线 (Unshielded Twisted Pair， 
UTP)。 屏 蔽 双 绞 线 在 双 绞 线 与 外 层 绝缘 封套 之 间 有 一 层 金 属 屏蔽 层 , 它 可 以 减少 对 外 辐射 ， 
防止 信息 被 窃听 ， 同 时 也 可 以 阻止 外 部 电磁 干扰 的 进入 。 因 此 ， 屏 蔽 双 绞 线 比 同 类 的 非 屏 
蔽 双 绞 线 具有 更 高 的 传输 速率 。 


2. 双 绞 线 的 分 类 


根据 双 绞 线 的 传输 性 能 ， 双 绞 线 还 可 以 分 为 3 类 线 、5 类 线 或 超 5 类 线 等 。 这 些 分 类 
中 ， 性 能 依次 递增 。EIA/TIA 为 双 绞 线 电缆 定义 了 几 种 不 同 质量 的 型 号 。 计 算 机 网 络 综合 
布线 一 般 使 用 其 中 的 第 三 、 第 四 、 第 五 类 。 这 些 型 号 的 具体 定义 如 下 所 示 。 

口 第 一 类 : 主要 用 于 传输 语音 (一 类 标准 主要 用 于 20 世纪 80 年 代 初 之 前 的 电话 线 
缆 )， 不 用 于 数据 传输 。 

口 第 二 类 : 传输 频率 为 IMHz， 用 于 语音 传输 和 最 高 传输 速率 为 4Mbps 的 数据 传输 。 
常见 于 使 用 4Mbps 规范 令 牌 传递 协议 的 令 牌 网 。 

口 第 三 类 : 是 目前 在 ANSI 和 EIA/TIA568 标准 中 指定 的 电线。 该 电缆 的 传输 频率 为 
16MHz, 用 于 语音 传输 及 最 高 传输 速率 为 10Mbps 的 数据 传输 。 主 要 用 于 以 太 网 的 
10base-T 标准 。 

口 第 四 类 : 该 类 电缆 的 传输 频率 为 20MHz, 用 于 语音 传输 或 最 高 传输 速率 为 16Mbps 
的 数据 传输 。 主 要 用 于 基于 令 牌 的 局 域 网 和 10Base-T。 

口 第 五 类 :该 类 电缆 增加 了 绕 线 密 度 ， 外 套 是 一 种 高 质量 的 绝缘 材料 。 传 输 频 率 为 
100MHz， 用 于 语音 传输 或 最 高 传输 速率 为 100Mbps 的 数据 传输 。 它 主要 用 于 
100Base-T 和 10Base-T 网 络 ， 这 也 是 日 前 局 域 网 布线 中 最 常用 的 双 绞 线 电 缆 。 

口 超 五 类 线 : 超 5 类 线 衰减 小 ， 串 扰 少 ， 具 有 更 高 的 衰减 与 串扰 比 和 信 品 比 、 更 小 
的 时 延误 差 ， 传 输 性 能 得 到 了 很 大 的 提高 。 超 5 类 线 主要 在 千 光 位 以 太 网 中 使 用 。 
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口 六 类 线 : 该 类 电缆 提供 了 2 倍 于 超 五 类 的 带宽 ， 最 适合 用 于 传输 速率 高 于 1Gbps 
的 应 用 。 布 线 标准 要 求 采 用 星 形 的 拓扑 结构 ， 永 久 链 路 的 布线 距离 不 能 超过 90m， 
信道 长 度 不 能 超过 100m。 

口 七 类 线 : 这 个 标准 规定 了 一 个 完全 屏蔽 的 双 绞 线 电 绕 。 每 一 对 线 都 进行 了 屏蔽 ， 
信号 发 送 速度 可 达 600MHz， 是 六 类 线 的 两 倍 多 。 


3. 双 绞 线 的 连接 标准 


在 局 域 网 布线 中 ， 双 绞 线 一 般 用 于 点 对 点 的 连接 。 使 用 时 ， 线 的 两 端 或 者 接 在 RJ45 
水 晶 头 上 ， 或 者 接 在 RJ45 模块 上 。 按 照 布线 标准 ， 八 蕊 的 双 绞 线 中 每 一 芯 外 皮 的 颜色 是 
有 规定 的 ,而 且 每 种 颜色 的 线 芯 对 应 一 个 编号 。 线 芯 颜 色 的 编号 有 两 个 标准 , 分 别称 为 568B 
和 568A， 具 体 规定 如 下 所 示 。 

口 标准 568B: 权 白 一 1， 橙 一 2， 绿 白 一 3， 蓝 一 4， 蓝 白 一 5， 绿 一 6， 棕 白 一 7， 


棕 一 8; 
口 标准 568A: 绿 白 一 1， 绿 一 2， 柳 白 一 3， 蓝 一 4， 蓝 白 一 5， 检 一 6， 棕 白 一 7， 
棕 一 8。 


一 般 情况 下 ， 都 是 采用 568B 标准 。 但 不 管 采用 568A 还 是 568B， 对 通信 的 性 能 都 没 
有 影响 。 当 接线 时 ， 应 该 根据 颜色 按 上 面 的 某 一 种 标准 依次 与 水 蝇头 或 模块 上 对 应 的 针脚 
进行 连接 。 
全 注意 ; 一 个 工程 中 只 能 使 用 一 种 接线 方式 。 


除了 按 标准 进行 连接 外 , 双 绞 线 还 有 一 种 交叉 连接 方式 。 即 一 端 按 上 述 标准 进行 连接 ， 
另 一 端 把 1 和 2、3 和 6、4 和 5， 以 及 7 和 8 进行 交换 。 两 台 计算 机 直接 相连 ， 或 者 某 些 
交换 机 不 通过 级 联 口 连 接 时 ， 应 该 要 使 用 交叉 线 。 还 有 ， 在 大 部 分 常见 的 以 太 网 标准 中 ， 
实际 上 只 需要 1、2、3、6 这 4 根 线 就 足够 了 ， 其 余 的 4 根 线 保留 未 用 。 


1.2.2” 同 轴 电 绕 


同 轴 电 缆 以 硬 铜 线 为 芯 ， 外 面包 一 层 白色 的 绝缘 材料 。 这 层 绝缘 材料 又 用 密 织 的 网 状 
细 导 体 环绕 , 网 外 又 覆盖 了 一 层 保护 性 材料 , 如 图 1-4 所 示 。 
信号 的 传输 是 由 中 心 导体 完成 的 ,其 他 部 分 主要 是 保护 中 心 
导体 不 受 外 界 影响 (包括 电 、 机 械 和 环境 方面 的 影响 )。 

同 轴 电缆 的 上 述 结构 ， 使 它 具 有 高 带宽 和 极 好 的 噪声 抑 
制 特性 。 同 轴 电 缆 的 带宽 取决 于 电缆 长 度 ，lkm 的 同 轴 电 缆 
可 以 达到 1Gbps 一 2Gbps 的 数据 传输 速率 。 还 可 以 使 用 更 长 
的 电缆 ， 但 是 传输 速率 要 降低 或 者 需要 使 用 中 间 放 大 器 。 图 1-4 同 轴 电费 实物 图 

有 两 种 广泛 使 用 的 同 轴 电 缆 。 一 种 是 50 欧姆 电费， 用 于 数字 传输 。 由 于 多 用 于 基带 
传输 ， 也 叫 基带 同 轴 电 缆 。 另 一 种 是 75 欧姆 电费， 用 于 模拟 传输 ， 也 称 为 宽带 同 轴 电 缆 。 
在 历史 上 , 同 轴 电 缆 由 于 相对 便宜 且 安 装 简单 ， 曾 经 是 网 络 用 户 的 首选 , 被 大 量 使 用 。 目 前， 
在 局 域 网 中 ， 同 轴 电 缆 基本 上 已 经 被 双 绞 线 或 光纤 取代 ， 但 仍 广泛 应 用 于 有 线 电视 领域 。 

早期 的 以 太 网 只 在 同 轴 电 缆 上 运行 。 刚 开始 时 ， 它 只 运行 在 一 种 坚硬 的 厚 电 缆 上 。 通 
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常 是 黄色 的 ， 被 称 为 粗 费 以 太 网 。 后 来 ， 在 以 太 网 中 使 用 了 一 种 更 易 管理 的 同 轴 电 缆 ， 称 
为 细 费 以 太 网 。 电 子 和 电气 工程 师 协会 (IEEE) 分 别 把 这 两 种 以 太 网 定义 为 10Base 5 和 
10Base 2 标准 。 

粗 缆 和 细 缆 以 太 网 目前 已 经 基本 上 废弃 不 用 了 ， 而 且 也 没有 出 现 新 的 使 用 同 轴 电 线 的 
局 域 网 标准 。 但 是 ， 使 用 同 轴 电 缆 接 入 Internet 的 应 用 却 在 迅 狐 发 展 ， 它 可 以 通过 线 缆 调 
制 解 调 器 ， 依 托 有 线 电视 网 络 ， 把 家 庭 电 脑 接 入 Internet。 线 缆 调 制 解 调 器 使 用 宽带 技术 ， 
在 同 轴 电 缆 上 同时 携带 Internet 数字 信号 和 有 线 电视 信号 ， 可 以 为 家 庭 用 户 提供 256kbps 
或 512kbps 的 Intermet 接 入 带宽 。 


1.2.3 ” 光 导 纤维 


光 导 纤维 也 称 为 光纤 或 光缆 ， 是 利用 全 反射 原理 使 光 在 玻璃 或 塑料 制 成 的 纤维 中 传 
播 ， 从 而 使 光 的 衰减 非常 小 ， 实 现 了 远 距离 传输 。 使 用 光纤 时 ， 要 先 通 过 某 种 设备 将 计算 
机 系统 中 的 电 脉 冲 信 号 变换 为 等 效 的 光 脉 冲 信号 。 由 于 没有 电信 号 在 线路 中 传输 ， 所 以 光 
纤 基 本 上 不 受 外 界 干扰 的 影响 ， 而 且 也 不 会 向 外 界 辐 射 可 能 会 被 检测 到 的 信号 。 这 使 得 光 
纤 传 输 非常 安全 ， 所 传输 的 数据 不 会 被 窃听 。 

光纤 的 结构 一 般 分 为 3 层 。 中 心 是 高 折射 率 玻璃 纤维 芯 〈 芯 径 可 以 是 50 或 62.5pm)， 
中 间 为 低 折 射 率 硅 玻璃 包 层 (直径 一 般 为 12Sum)， 最 外 


层 是 加 强 用 的 树脂 涂 层 ， 起 到 保护 作用 。 另 外 ， 一 根 光缆 ”全 = 
可 以 包含 4 芯 、8 芯 或 更 多 芯 的 光纤 ， 并 根据 室内 或 室外 = 


的 环境 特点 ， 采 用 不 同形 式 的 保护 层 ， 如 图 1-5 所 示 。 
按 光 在 光纤 中 的 传输 模式 可 以 把 光纤 分 为 单 模 光 纤 和 ssss 
多 模 光 纤 。 多 模 光 纤 的 中 心 玻璃 纤维 芯 较 粗 ， 芯 径 一 般 是 


50 或 62.5hm， 可 传输 多 种 模式 的 光 。 但 由 于 模 间 的 色散 图 1-5 光线 实物 图 
较 大 ， 限 制 了 传输 数字 信号 的 频率 ， 而 且 随 着 距离 的 增加 影响 会 更 加 严重 。 因 此 ， 多 模 光 
纤 传输 的 距离 比较 近 ， 一 般 只 有 几 公里 。 

单 模 光纤 的 中 心 玻璃 芯 较 细 ， 芯 径 一 般 为 9 或 10hm， 只 能 传输 一 种 模式 的 光 。 因 此 ， 
其 模 间 的 色散 很 小 ， 适 用 于 远 距离 的 信号 传输 。 但 由 于 单 模 光纤 对 光源 的 谱 宽 和 稳定 性 有 
较 高 的 要 求 ， 即 谱 宽 要 窄 ， 稳 定性 要 好 ， 因 此 配套 的 光电 变换 设备 较 昂贵 。 

在 光纤 布线 链 路 和 网 络 设备 之 间 的 光纤 连接 线 也 称 为 光纤 跳 线 ， 一 般 用 在 光端机 和 终 
端 盒 之 间 的 连接 。 单 模 光纤 跳 线 一 般 是 黄色 的 ， 接 头 和 保护 套 为 蓝 色 。 而 多 模 光纤 跳 线 一 
般 是 橙色 的 ， 也 有 部 分 是 灰色 的 ， 接 头 和 保护 套用 米色 或 者 黑色 。 


全 注意 : 光纤 跳 线 的 接头 有 多 种 类 型 ， 包 括 ST、SC、MIC、SMA 以 及 MT-RJ 等 。 
最 后 ， 总 结 一 下 光纤 传输 具有 的 优点 。 
1. 频带 宽 


频带 的 宽 窗 代 表 传 输 容量 的 大 小 。 载波 的 频率 越 高 , 可 以 传输 信号 的 频带 宽度 就 越 大 。 
例如 ， 在 VHF 频段 ， 载 波 频率 为 48.3MHz~300MHz， 带 宽 约 230MHz， 大 约 可 以 传输 27 
套 电视 和 几 十 套 调 频 广 播 。 而 可 见 光 的 频率 可 达 100 000GHz， 比 VHF 频段 高 出 一 百 多 万 
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倍 。 虽 然 光 纤 对 不 同 频率 的 光 也 有 不 同 的 损耗 ， 使 频带 宽度 受到 影响 ， 但 在 最 低 损耗 区 
频带 宽度 仍然 可 达 30 000GHz。 通 过 采用 先进 的 相干 光 通 信 ， 可 以 在 30 000GHz 范围 内 
排 2 000 个 光 和 载波。 进行 光波 复 用 后 ， 可 以 容纳 上 百 万 个 频道 。 


2. 损耗 低 


在 由 同 轴 电 绕组 成 的 系统 中 ， 即 使 是 最 好 的 电缆， 在 传输 800MHz 信号 时 ， 每 公里 的 
损耗 都 在 40dB 以 上 。 相 比 之 下 ， 光 导 纤 维 的 损耗 则 要 小 得 多 。 传 输 波 长 为 1.31hm 的 光 ， 
每 公里 的 损耗 不 到 0.35dB。 由 于 光纤 纤维 的 功率 损耗 比 同 轴 电 缆 要 小 一 亿 倍 以 上 ， 使 得 它 
能 够 传输 的 距离 要 远 得 多 。 此 外 ， 光 纤 传 输 的 损耗 还 有 两 个 特点 ， 一 是 在 全 部 频带 内 具有 
相同 的 损耗 ， 因 此 不 需要 像 电缆 干线 那样 需要 使 用 均衡 器 进行 均衡 ， 二 是 其 损耗 几乎 不 随 
温度 而 变 ， 不 用 担心 因 环境 温度 变化 而 造成 干线 电 平 的 波动 。 


3. 抗 干扰 能 力 强 


由 于 光纤 的 基本 成 分 是 石英 、 玻 璃 等 ， 只 传 光 ， 不 导电 ， 电 磁场 对 其 没有 任何 作用 。 
因此 ， 在 光纤 中 传输 的 光 信 号 不 会 受到 外 界 电磁 场 的 影响 ， 光 纤 传输 对 电磁 干扰 、 工 业 干 
扰 有 很 强 的 抵御 能 力 。 另 外 ， 由 于 全 反射 的 特性 ， 光 纤 也 不 会 向 外 界 泄漏 光 信号 。 因 此 在 
光纤 中 传输 的 信号 不 易 被 窃听 ， 利 于 保密 。 


4. 工作 可 靠 


一 个 系统 的 可 靠 性 与 组 成 该 系统 的 设备 数量 密切 相关 。 设 备 越 多 ， 发 生 故 障 的 机 会 越 
大 。 因 为 光纤 系统 包含 的 设备 数量 少 ， 不 像 电缆 系 统 那样 需要 很 多 放大 器 ， 因 此 可 靠 性 自 
然 就 高 。 另 外 ， 光 纤 设 备 的 寿命 一 般 都 很 长 ， 无 故障 工作 时 间 可 达 50 万 一 75 万 小 时 。 其 
中 ,寿命 最 短 的 是 光 发 射 机 中 的 激光 器 ， 最低 寿命 也 在 10 万 小 时 以 上 。 因 此 ， 一 个 设计 良 
好 、 安 装 调试 正确 的 光纤 系统 ， 其 工作 性 能 是 非常 可 靠 的 。 


5. 成 本 不 断 下 降 


在 光纤 使 用 的 初期 ， 由 于 受到 制造 水 平 的 限制 ， 光 纤 的 成 本 较 高 。 随 着 制造 技术 的 进 
步 和 产量 的 提高 ， 光 纤 的 成 本 不 断 地 降低 。 另 外 ， 由 于 制作 光纤 的 主要 材料 是 石英 ， 其 来 
源 十 分 丰富 ; 而 电缆 所 需 的 铜 原料 是 有 限 的 资源 ， 价 格 将 会 越 来 越 高 。 因 此 ， 与 铜 缆 相 比 ， 
光纤 的 成 本 优势 也 将 会 逐渐 体现 出 来 ， 在 不 久 的 将 来 ， 光 纤 传 输 将 占 绝对 优势 ， 甚 至 有 可 
能 会 成 为 有 线 电 视 网 的 主要 传输 手段 。 


1.2.4 无线 介 质 


无 线 传输 介质 也 称 为 非 导向 传输 介质 。 随 着 技术 的 发 展 和 移动 通信 需求 的 不 断 出 现 ， 
传统 的 有 线 网 络 存在 的 弊端 逐渐 显现 ， 并 成 为 影响 和 限制 网 络 应 用 的 一 个 因素 。 无 线 通信 
系统 的 产生 和 应 用 ， 弥 补 了 有 线 网 络 的 不 足 ， 成 为 目前 的 应 用 和 技术 热点 。 在 局 域 网 中 ， 
使 用 的 无 线 介 质 主要 是 无 线 电波 。 

无 线 电 通 信 在 数据 通信 中 占有 重要 的 地 位 。 无 线 电波 产生 容易 ， 传 播 的 距离 较 远 ， 很 
容易 穿 过 建筑 物 ， 在 室内 通信 和 室外 通信 都 得 到 了 广泛 应 用 。 另 外 ， 无 线 电波 是 通过 广播 
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方式 全 向 传播 的 ， 所 以 发 射 和 接收 装置 不 必 在 物理 上 准确 对 准 。 

无 线 电 波 的 特性 与 其 频率 有 关 。 在 VLF、LF 和 MF 频段 上 ， 无 线 电波 沿 着 地 面 传播 ， 
其 传播 的 特点 如 下 : 

口 工作 频率 较 低 ; 

口 传播 距离 远 ， 在 较 低 频率 时 可 以 达到 1 000km:; 

口 通过 障碍 物 的 穿 透 能 力 较 强 ; 

口 能 量 会 随 着 距离 的 增 大 而 急剧 减 小 。 

在 HF 和 VHF 频段 上 ,无 线 电波 会 被 地 面 吸收 。 这 时 ,可 以 通过 地 面 上 空 电 离 层 的 反 
射 来 传播 。 无 线 电 信号 通过 地 面 上 的 发 送 站 发 送出 去 ， 当 到 达 地 面 上 空 〈 距 地 球 100 一 
500km) 电离 层 时 ， 无 线 电 波 被 反射 回 地 面 ， 再 被 地 面 的 接收 站 接收 到 。HF 和 VHF 频段 
上 的 无 线 电波 的 传输 特点 如 下 : 

口 工作 频率 较 高 ; 

口 无 线 电波 趋 于 直线 传播 ; 

口 通过 障碍 物 的 穿 透 能 力 较 弱 ; 

口 会 被 空气 中 的 水 蒸气 和 自然 界 的 雨水 吸收 。 


名 说 明 : 目前 广泛 使 用 的 无 线 局 域 网 标准 802.11 的 频率 为 2.4GHz， 位 于 VHF 频段 之 上 。 


1.3 ”局域网 连 网 设备 


除了 传输 介质 外 ， 还 需要 各 种 网 络 连接 设备 才能 将 独立 工作 的 计算 机 连接 起 来 ， 构 成 
计算 机 网 络 。 在 局 域 网 中 ， 常 用 的 网 络 连接 设备 有 网 卡 、 集 线 器 、 交 换 机 等 。 另 外 ， 如 果 
希望 把 复杂 的 局 域 网 互联 起 来 , 或 者 要 把 局 域 网 连 入 Internet， 还 需要 路 由 器 。 本 节 主 要 介 
绍 这 些 网 络 连 接 设 备 的 结构 、 功 能 、 特 点 及 使 用 方法 等 内 容 。 


1.3.1 网 卡 


网 卡 也 称 为 网 络 接口 卡 或 网 络 适配器 ， 是 计算 机 网 络 中 最 重要 的 连接 设备 之 一 。 其 外 
形 如 图 1-6 所 示 。 网 卡 安装 在 计算 机 内 部 或 直接 与 计算 机 
连接 ， 计 算 机 只 能 通过 网 卡 接 入 局 域 网 。 网 卡 的 作用 是 双 
重 的 ， 一 方面 它 负 责 接 收 网 络 上 传 过 来 的 数据 ， 并 将 数据 
直接 通过 总 线 传送 给 计算 机 ; 另 一 方面 它 也 将 计算 机 上 的 
数据 封装 成 数据 帧 ， 再 转换 成 比特 流 后 送 入 网 络 。 


1. 网 卡 的 结构 Eu 


网 卡 主要 由 发 送 单元 、 接 收 单 元 和 控制 单元 组 成 。 网 
卡 一 般 直 接 揪 在 计算 机 主板 的 总 线 插 槽 上 ， 并 通过 网 络 捅 
口 与 传输 介质 连接 。 发 送 单元 的 功能 是 把 从 计算 机 总 线 发 过 来 的 数据 转换 成 一 定格 式 的 电 
信号 ， 再 传送 到 传输 介质 上 。 而 接收 单元 的 作用 相反 。 控 制 单元 一 方面 控制 着 发 送 单元 和 
接收 单元 的 工作 ， 一 方面 协调 通过 系统 总 线 与 计算 机 交换 数据 。 


图 1-6 网 卡 实物 图 
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2. 网 卡 的 功能 


网 卡 的 功能 体现 在 以 下 几 个 方面 。 首 先 ， 计 算 机 内 部 采用 的 是 并 行 总 线 的 工作 方式 ， 

而 网 络 中 的 通信 采用 的 是 串 行 工作 方式 。 数 据 在 通过 网 络 传输 前 必须 由 并 行 状态 转换 为 串 
行 状态 ， 这 个 功能 就 是 由 网 卡 承担 的 。 
其 次 ， 网 卡 将 并 行 数据 转换 成 串 行 数据 后 ， 还 需要 将 数据 转换 成 可 以 在 网 络 中 传输 的 
电信 号 或 光 信 号 。 同 时 ， 还 需要 按 标 准 规定 在 这 些 数 据 信 号 中 插入 一 些 控制 信号 ， 这 样 才 
能 利用 传输 介质 进行 传输 。 同 样 ， 当 网 卡 从 网 络 传输 介质 中 接收 到 电信 和 号 或 光 信 号 后 ， 也 
需要 经 过 相反 的 处 理 后 ， 才 能 还 原 成 原来 的 数字 信和 号。 

还 有 ， 当 一 块 网 卡 与 网 络 上 的 其 他 网 卡通 信 时 ， 首 先 需要 进行 协调 ， 然 后 才能 开始 真 
正 传输 数据 。 这 些 协调 工作 包括 相互 确定 数据 帧 的 大 小 、 数 据 的 传输 速率 、 所 能 接收 的 最 
大 数据 量 、 发 送 和 接收 数据 帧 之 间 的 时 间 间 隔 等 。 一 些 功能 较 强 的 网 卡 会 自动 调整 自己 的 
某 些 性 能 ， 保 证 能 够 与 其 他 网 卡 的 性 能 相互 匹配 。 

传输 数据 是 网 卡 的 主要 功能 ， 但 除 此 之 外 网 卡 还 需要 向 网 络 中 的 其 他 设备 通报 自己 的 
地 址 ， 该 地 址 即 为 网 卡 的 MAC 地 址 。 为 了 保证 网 络 中 数据 的 正确 传输 ， 要 求 网 络 中 每 个 
设备 的 MAC 地 址 必须 是 唯一 的 。 网 卡 的 MAC 地 址 共 占 6 个 字 节 ， 且 被 分 为 两 个 部 分 。 
前 3 个 字 节 是 厂商 的 标识 ， 由 IEEE 统一 分 配 ， 例 如 ，Cisco 公司 分 到 的 是 00000C，Intel 
公司 分 到 的 是 00AA00 等 ， 后 3 个 字 节 由 厂商 自行 确定 如 何 分 配 。 


且说 明 : 有些 网 卡 配 上 相应 的 BOOT ROM 芯片 后 ， 还 具有 引导 计算 机 的 功能 。 


3. 网 卡 的 分 类 


根据 所 支持 的 局 域 网 标准 不 同 ， 网 卡 可 分 为 以 太 网 网 卡 、 令 牌 网 网 卡 、FDDI 网 卡 、 
ATM 网 卡 等 不 同 的 类 型 。 由 于 近年 来 以 太 网 技术 发 展 十 分 迅速 ， 所 以 在 实际 应 用 中 以 太 网 
网 卡 占据 了 主导 地 址 ， 目 前 市 面 上 见 到 的 绝 大 部 分 都 是 以 太 网 卡 。 

按照 网 卡 的 使 用 场合 来 分 ， 可 以 分 成 服务 器 专用 网 卡 、 普 通 工作 站 网 卡 、 笔 记 本 电脑 
专用 网 卡 和 无 线 局 域 网 网 卡 。 除 了 无 线 网 卡 外 ， 目 前 的 以 太 网 卡 速率 大 部 分 都 是 
10/100Mbps 自 适应 。1000Mbps 的 网 卡 也 比较 常见 ， 与 网 络 的 连接 方式 一 般 都 是 通过 RJ45 
接口 与 双 绞 线 进行 连接 。 当 然 ， 也 有 光纤 接口 的 网 卡 。 
服务 器 网 卡 是 为 了 适应 网 络 服务 器 的 工作 特点 而 专门 设计 的 ， 它 的 主要 特征 是 在 网 卡 
上 采用 了 专用 的 控制 芯片 。 大 量 的 工作 由 这 些 芯 片 直接 完成 , 减轻 了 服务 器 CPU 的 工作 负 
荷 。 由 于 价格 相对 较 贵 ， 因 此 这 类 网 卡 一 般 只 安装 在 一 些 专用 的 服务 器 上 使 用 。 普 通 的 工 
作 站 一 般 使 用 价格 相对 低廉 的 “兼容 网 卡 ” 它 在 一 般 的 PC 上 都 是 通用 的 。 除 了 价格 低廉 
外 ， 工 作 性 能 也 非常 稳定 ， 因 此 得 到 了 广泛 的 使 用 。 

PCMCIA 是 专门 用 在 笔记 本 或 PDA、 数 码 相机 等 便携 设备 上 的 一 种 接口 规范 。 笔记 本 
网 卡通 常 都 支持 PCMCIA 规范 ， 因 此 也 称 为 PCMCIA 网 卡 ， 它 一 般 不 能 用 在 台式 机 上 。 
PCMCIA 总 线 分 为 两 种 ， 一 种 是 16 位 的 PCMCIA， 另 一 种 是 32 位 的 CardBus。CardBus 
是 一 种 用 于 笔记 本 电脑 的 新 的 高 性 能 PC 卡 总 线 接口 标准 , 它 不 仅 能 提供 更 快 的 传输 速率 ， 
而 且 可 以 独立 于 主 CPU， 与 计算 机 内 存 间 直 接 交 换 数据 ， 因 此 可 以 减轻 CPU 的 负担 。 

无 线 局 域 网 网 卡 是 近年 来 随 着 无 线 局 域 网 技术 的 发 展 而 产生 的 。 与 有 线 网 卡 不 同 的 
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是 ， 无 线 网 卡 使 用 无 线 介 质 来 传送 信息 ， 不 需要 双 绞 线 、 同 轴 电 缆 或 光纤 等 有 线 介质 。 由 
于 受 无 线 局 域 网 标准 的 限制 ， 无 线 网 卡 的 速度 一 般 较 有 线 网 卡 低 ， 并 且 容 易 受到 环境 的 


影响 。 
1.3.2 ”集线器 


集线器 也 称 为 Hub， 它 是 连接 计算 机 的 最 简单 的 网 络 设备 ， 主 要 作用 是 把 计算 机 或 其 
他 网 络 设备 汇聚 到 一 个 节点 上 ， 其 外 形 如 图 1-7 所 示 。Hub 只 是 一 个 多 端口 的 信号 放大 设 
备 。 在 工作 中 ， 当 一 个 端口 接收 到 数据 信号 时 ， 由 于 信号 在 从 源 端口 到 Hub 的 传输 过 程 中 
已 经 有 了 衰减 , 所 以 Hub 便 将 该 信号 进行 整形 放大 , 使 被 衰减 的 信号 恢复 到 发 送 时 的 状态 ， 
然后 再 转发 到 Hub 其 他 端口 所 连接 的 设备 上 。 

从 Hub 的 工作 方式 可 以 看 出 ， 它 在 网 络 中 只 起 到 信号 放大 和 重 发 作用 。 其 目的 是 扩大 
网 络 的 传输 范围 ， 而 不 具备 信号 的 定向 传送 能 力 ， 是 一 个 标准 的 共享 式 设备 。 其 功能 实际 
上 同 中 继 器 一 样 ， 所 以 Hub 实际 上 是 一 种 多 端口 的 中 继 器 。 

衡量 Hub 性 能 的 主要 指标 是 端口 速度 和 端口 数 。Hub 的 端口 速度 与 网 卡 相对 应 ,一 般 
有 10Mbps、100Mbps 和 10/100Mbps 自 适应 3 种 。 而 端口 数 可 以 是 8 口 、16 口 或 24 口 等 。 
由 于 交换 机 的 价格 已 经 下 降 到 与 Hub 相差 无 几 , 而 其 性 能 却 比 Hub 要 好 得 多 。 因 此 , 日 前 
Hub 已 经 很 少 使 用 。 


图 1-7 集线器 实物 图 图 1-8 交换 机 实物 图 


1.3.3 ”交换 机 


随 着 计算 机 网 络 的 应 用 越 来 越 广泛 ,人 们 对 网 络 速度 的 要 求 也 越 来 越 高 ,传统 的 以 Hub 
为 中 心 的 局 域 网 已 经 不 能 满足 人 们 的 要 求 。 在 这 样 的 一 种 背景 下 ， 网 络 交换 技术 开始 出 现 
并 很 快 得 到 了 广泛 的 应 用 。 交 换 机 也 称 为 交换 式 Hub (Switch Hub)， 虽 然 其 功能 及 组 网 方 
式 与 Hub 差不多 ， 但 它 的 工作 原理 却 与 Hub 有 着 本 质 上 的 区 别 。 如 图 1-8 所 示 的 是 Cisco 
2950 交换 机 的 外 形 图 。 


1. 交换 机 的 工作 原理 


集线器 只 能 在 半 双 工 方式 下 工作 ， 而 交换 机 可 以 同时 支持 半 双 工 和 全 双 工 两 种 工作 方 
式 。 全 双 工 网 络 允 许 同 时 发 送 和 接收 数据 ， 从 理论 上 讲 ， 其 传输 速度 可 以 比 半 双 工 方式 增 
加 一 倍 。 因 此 ， 采 用 全 双 工 工作 方式 的 交换 机 可 以 显著 地 提高 网 络 性 能 。 
集线器 组 成 的 网 络 称 为 共享 式 网 络 ， 而 用 交换 机 构建 的 网 络 则 称 为 交换 式 网 络 。 共 
享 网 络 存在 的 最 主要 的 问题 是 所 有 用 户 共享 带宽 ， 每 个 用 户 的 实际 可 用 带宽 随 着 网 络 用 户 
数目 的 增加 而 递减 。 这 是 因为 当 通 信 繁忙 时 ， 多 个 用 户 可 能 同时 争 用 一 个 信道 ， 而 一 个 信 
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道 在 某 一 时 刻 只 允许 一 个 用 户 占用 。 因 此 ， 大 量 的 用 户 经 常 要 处 于 等 待 状态 ， 并 不 断 地 检 
测 信道 是 否 已 经 空闲 。 


全 说 明 : 更 为 严重 的 是 ， 当 用 户 同时 争 用 信道 并 发 生 “ 碰 撞 ” 时 ， 信 道 将 处 于 短暂 的 闲置 
状态 。 如 果 碰 撞 大 量 出 现 ， 将 严重 影响 性 能 。 


在 交换 式 以 太 网 络 中 ， 交 换 机 提供 给 每 个 用 户 专 用 的 信道 ， 多 个 端口 对 之 间 可 以 同时 
进行 通信 而 不 会 冲突 ， 除 非 两 个 源 端口 试图 同时 将 数据 发 往 同一 个 目的 端口 。 交 换 机 之 所 
以 有 这 种 功能 ， 是 因为 它 能 根据 数据 帧 的 源 MAC 地 址 知道 该 MAC 地 址 的 机 器 与 哪 一 个 
端口 连接 ， 并 把 它 记 住 ， 以 后 发 往 该 MAC 地 址 的 数据 帧 将 只 转发 到 这 个 端口 ， 而 不 是 像 
集成 器 那样 转发 到 所 有 的 端口 。 这 样 就 大 大 减少 了 数据 帧 发 生 碰撞 的 可 能 。 


2. 交换 机 的 分 类 


交换 机 是 构成 整个 交换 式 网 络 的 关键 设备 。 不 同类 型 的 交换 机 所 采用 的 交换 方式 也 会 
不 同 ， 从 而 对 网 络 的 性 能 也 会 造成 影响 。 目 前 ， 交 换 机 主要 使 用 存储 转发 〈Store and 
Forward)、 直 通 〈Cut Through) 和 无 碎片 直通 〈Fragment Free Cut Through) 3 种 方式 。 

当 交 换 机 运行 在 存储 转发 方式 时 ， 在 转发 数据 帧 之 前 必须 先 接收 整个 数据 帧 ， 并 存储 
在 一 个 共享 的 缓冲 区 中 ， 然 后 检查 其 源 MAC 地 址 和 目标 MAC 地 址 ， 以 及 对 整个 数据 帧 
进行 CRC 校 验 。 如 果 交 换 机 没有 发 现 错误 ， 它 将 根据 目标 MAC 地 址 把 这 个 数据 帧 转发 到 
相应 的 端口 ， 和 否则 ， 将 丢弃 这 个 数据 帧 。 由 于 交换 机 在 开始 转发 数据 帧 之 前 必须 先 接收 到 
整个 数据 帧 ， 因 此 存储 转发 模式 的 延迟 会 比较 大 ， 而 且 这 个 延迟 和 所 转发 的 数据 帧 的 大 小 
有 关 。 

直通 转发 方式 允许 交换 机 在 检查 到 数据 帧 中 的 目标 MAC 地 址 时 就 开始 转发 数据 帧 。 
目标 MAC 地 址 在 数据 帧 中 占用 6 字 节 ， 而 且 位 于 数据 帧 的 最 前 面 ， 所 以 直通 式 的 延迟 很 
小 。 但 是 直通 式 无 法 像 存 储 转发 方式 那样 在 转发 数据 帧 之 前 对 其 进行 错误 校 验 。 因 此 ， 错 
误 的 数据 帧 依然 通过 交换 机 被 转发 到 目的 设备 ， 由 目的 设备 丢弃 该 数据 帧 并 要 求 重 传 。 

无 碎片 直通 方式 有 效 地 结合 了 直通 式 和 存储 转发 方式 的 优点 。 当 交换 机 工作 在 无 碎片 
直通 方式 时 ， 它 只 检查 数据 帧 的 前 64 字 节 。 如 果 前 64 字 节 没有 出 现 错误 ， 交 换 机 将 转发 
该 数据 帧 。 反 之 ， 则 丢弃 该 帧 。 采 用 这 种 机 制 的 原因 是 当 网 络 发 生 冲 突 时 ， 大 部 分 错误 都 
是 发 生 在 数据 帧 的 前 64 字 节 。 因 此 采用 无 碎片 直通 方式 时 能 检查 出 大 部 分 的 错误 数据 帧 。 

大 部 分 交换 机 还 可 以 同时 支持 直通 式 和 存储 转发 式 两 种 工作 方式 。 开 始 时 ， 交 换 机 采 
直通 式 转发 数据 帧 ， 同 时 监视 着 它 所 转发 的 数据 帧 是 否 出 错 。 当 错误 帧 达到 了 某 一 限制 
值 时 ， 交 换 机 将 自动 切换 到 存储 转发 方式 ， 以 保证 不 让 错误 的 数据 帧 浪费 带宽 。 这 种 工作 
机 制 结合 了 存储 转发 和 直通 式 的 优点 ， 在 网 络 环境 好 的 时 候 能 够 有 效 地 保证 低 延 迟 转发 。 
而 在 网 络 环境 变 差 时 ， 又 能 限制 错误 帧 的 转发 。 

3. 交换 机 的 选择 

对 于 用 户 来 说 ， 选 择 交换 机 最 关心 的 还 是 端口 速率 、 端 口 数 ， 以 及 端口 类 型 。 目 前 主 
流 的 交换 机 端口 速率 有 10/100Mbps 自 适 应 、10/100/1 000Mbps 自 适 应 等 种 类 ， 有 些 还 带 有 
光 口 ， 速 率 可 能 是 100Mbps 或 1 000Mbps， 端 口 数 可 以 是 8 个 、16 个 、24 个 和 48 个 。 共 
次 还 要 考虑 背 板 带宽 、 否 吐 率 交换 方式 、 堆 释 能 力 和 网 管 能 力 等 指标 。 
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1.3.4 ”路 由 器 


路 由 器 是 一 种 连接 多 个 网 络 或 网 段 的 网 络 设备 ， 它 能 将 不 同 网 络 或 网 段 之 间 的 数据 信 
息 进行 “翻译 ”以 便 它们 之 间 能 够 互相 “ 读 ” 懂 对 方 的 数据 ， 从 而 构成 一 个 更 大 的 网 络 。 
路 由 器 一 般 用 于 把 局 域 网 连 入 到 Intemet 等 广域网 ， 或 者 用 于 不 同 结构 子 网 之 间 的 互 连 。 
这 些 子 网 本 身 可 能 就 是 局 域 网 ， 但 它们 之 间 的 距离 很 远 ， 需 要 通过 租用 专线 并 通过 路 由 器 
进行 互 连 。 

路 由 器 最 基本 的 功能 之 一 是 路 由 选择 。 当 两 台 连 接 在 不 同 子 网 上 的 计算 机 进行 通信 
时 ， 可 能 需要 经 过 很 多 路 由 器 。 每 一 台 路 由 器 从 上 一 站 接收 到 数据 包 后 ， 必 须根 据 数据 包 
的 目的 地 址 决定 下 一 站 是 哪 一 台 路 由 器 ， 这 就 是 路 由 选择 。 通 过 路 由 器 的 一 站 站 转发 ， 数 
据 包 最 终 沿 着 某 一 条 路 径 到 达 了 目的 地 。 


全 说 明 ; 路 由 选择 是 通过 路 由 表 来 实现 的 ， 每 一 台 路 由 器 都 维持 着 一 张 路 由 表 ， 路 由 表 中 
间 明 了 哪 一 种 目的 地 址 应 该 选择 下 一 站 哪 一 台 路 由 器 。 路 由 表 可 以 是 由 管理 员 输 
入 的 静态 路 由 ， 也 可 以 根据 网 络 结构 的 变化 进行 动态 更 新 。 


路 由 器 的 另 一 个 基本 功能 是 数据 转发 。 虽 然 路 由 器 是 根据 IP 地 址 对 数据 包 进 行路 由 
的 ， 但 在 大 多 数 情况 下 ， 计 算 机 和 路 由 器 或 者 路 由 器 和 路 由 器 之 间 却 是 通过 MAC 地 址 交 
换 数据 包 的 ， 它 们 必须 位 于 同一 子 网。 因此 ， 路 由 器 从 某 一 端口 接收 到 数据 包 后 ， 道 过 路 
由 选择 ， 再 把 数据 包 从 另 一 端口 发 送 给 其 他 路 由 器 时 ， 需 要 改变 数据 包 的 MAC 地 址 ， 这 
个 过 程 就 是 数据 转发 。 

根据 性 能 和 价格 ， 路 由 器 可 分 为 低 端 、 中 端 和 高 端 3 类 。 高 端 路 由 器 又 称 核心 路 由 器 。 
低 、 中 端 路 由 器 每 秒 的 信息 吞吐 量 一 般 在 几 千 万 至 几 十 亿 比特 之 间 ， 而 高 端 路 由 器 每 秒 信 
息 否 吐 量 均 在 100 亿 比 特 以 上 。 选 择 路 由 器 时 ， 首 先 要 确定 所 需 路 由 器 的 档次 ， 其 次 要 注 
意 路 由 器 的 端口 是 否 满足 自己 的 需要 。 另 外 ， 还 要 考虑 可 靠 性 、 安 全 性 以 及 管理 的 方便 性 
等 方面 。 


1.3.5 三 层 交 换 机 


虽然 第 二 层 交 换 机 解决 了 集线器 存在 的 不 足 ， 它 可 以 只 向 数据 帧 接收 方 所 在 的 端口 转 
发 数据 帧 ， 而 集线器 是 把 所 有 的 数据 帧 都 广播 给 所 有 的 端口 ， 广 播 风暴 会 使 网 络 的 效率 急 
剧 下 降 。 但 第 二 层 交 换 机 还 有 一 个 弱点 ， 就 是 还 不 能 完全 隔断 广播 域 。 当 某 一 站 点 在 网 上 
发 送 广播 或 组 播 数据 帧 ， 或 第 一 次 发 送 数据 帧 时 ， 交 换 机 上 的 所 有 站 点 都 将 收 到 这 些 数据 
帧 ， 此 时 整个 交换 环境 构成 一 个 大 的 广播 域 。 

为 了 解决 这 个 问题 ， 以 及 其 他 一 些 如 异 构 网 络 互联 、 安 全 控制 等 问题 ， 出 现 了 第 三 层 
交换 技术 。 第 三 层 交 换 是 相对 于 传统 的 第 二 层 交 换 概念 而 提出 的 。 简 单 地 说 ， 第 三 层 交 换 
就 是 在 第 二 层 交换 的 基础 上 再 集成 了 路 由 功能 ， 吸 收 了 路 由 器 在 网 络 中 的 可 扩展 性 和 灵活 
性 等 特点 。 所 以 第 三 层 交 换 技术 也 称 为 路 由 交换 技术 或 IP 交换 技术 , 但 它 是 二 者 的 有 机 结 
合 ， 并 不 是 简单 地 把 路 由 器 设备 王 加 在 第 二 层 交 换 机 上 。 

第 三 层 交 换 机 对 数据 包 的 处 理 与 传统 路 由 器 相似 ， 它 可 以 进行 路 由 计算 、 确 定 最 佳 路 
由 ， 同 时 对 路 由 表 进 行 维护 更 新 ， 以 及 对 数据 包 进 行 转发 。 但 是 ， 第 三 层 交 换 机 对 数据 包 
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的 转发 是 由 专门 的 硬件 来 负责 的 ， 这 比 路 由 器 中 基于 微 处 理 器 引擎 执行 的 数据 包 转 发 要 快 
得 多 。 

在 第 三 层 交 换 机 工作 过 程 中 ， 会 观察 数据 包 中 的 源 瑟 地 址 与 源 MAC 地 址 ， 并 把 它们 
之 间 的 对 应 关系 记录 下 来 。 如 果 在 以 后 收 到 的 数据 包 中 发 现 源 瑟 地 址 和 目的 卫 地 址 之 间 
存在 着 一 条 二 层 通路 ， 就 不 会 将 数据 包 上 交 给 第 三 层 进行 路 由 处 理 ， 而 是 直接 通过 交换 进 
行 转发 。 也 就 是 说 ， 第 三 层 交 换 开 始 时 使 用 路 由 协议 确定 传送 路 径 ， 但 会 在 第 二 层 记 住 这 
条 路 径 。 以 后 同样 目的 地 的 数据 包 到 达 时 ， 可 以 绕 过 路 由 器 直接 发 送 ， 即 实现 “一 次 路 由 ， 
多 次 交换 ”。 

第 三 层 交 换 技术 的 出 现 ， 解 决 了 局 域 网 中 划分 网 段 之 后 不 同 子 网 之 间 必 须 依赖 路 由 器 
互 连 的 局 限 ， 解 决 了 传统 路 由 器 低速 、 复 杂 所 造成 的 网 络 瓶颈 问题 。 第 三 层 交 换 机 在 提高 
网 络 的 运行 速度 和 扩展 网 络 的 规模 方面 所 起 的 作用 已 经 得 到 了 一 致 公认 ， 目 前 已 作为 局 域 
网 的 主干 设备 而 广泛 应 用 。 


1.4 几 种 局 域 网 架设 实例 


有 了 传输 介质 和 网 络 连接 设备 后 ， 就 可 以 把 计算 机 连接 成 常见 的 局 域 网 络 了 。 本 节 介 
绍 儿 个 局 域 网 的 架设 实例 ， 从 最 简单 的 双 机 互 连 开 始 ， 再 介绍 小 型 的 由 交换 机 连接 的 局 域 
网 ， 以 及 结构 复杂 的 企业 网 ， 还 有 应 用 时 间 不 长 的 无 线 局 域 网 。 


1.4.1 双 机 互连网 络 


如 果 只 对 两 台 计 算 机 进行 连接 ， 则 不 需要 任何 网 络 连接 设备 ， 只 需 一 根 双 绞 线 即 可 ， 
如 图 1-9 所 示 。 当 然 ， 前 提 是 两 台 计算 机 中 已 经 安装 了 网 卡 。 此 时 需要 注意 以 下 儿 点 。 

口 最 关键 的 是 双 绞 线 与 水 晶 头 连接 时 ， 应 该 做 成 交叉 线 的 形式 ， 其 接线 方式 如 图 1-9 
所 示 ， 即 某 一 边 的 1 和 2 交换 、3 和 6 交换， 而 1 和 2、3 和 6 应 该 是 双 绞 线 对 。 
其 余 4 根 线 可 以 不 接 。 

口 两 台 计 算 机 的 网 卡 要 有 RJ45 接口 ， 而 且 速 率 要 匹配 ， 即 不 能 一 边 是 10Mbps， 而 
另 一 边 是 100Mbps。 最 好 使 用 10/100Mbps 自 适应 的 网 卡 。 

口 双 绞 线 要 选用 五 类 及 以 上 ， 才 能 保证 有 100Mbps 的 速度 。 


RJ45 水 晶 头 RJ45 水 晶 头 
| 


一 bwan 
一 Ne 

ai 
| | 


双 绞 线 
图 1-9 ”交叉 双 绞 线 连 接 示意 图 


以 上 硬件 连接 完成 后 ,在 两 台 计 算 机 上 设置 同一 网 段 的 人 PP 地址 ， 即 可 以 进行 通信 。 如 
果 希 望 这 两 台 计 算 机 再 连 入 Internet, 可 以 在 某 一 台 计 算 机 上 再 插 一 块 网 卡 , 然后 通过 LAN 
或 ADSL 连接 到 Internet。 为 了 使 男 一 台 计 算 机 也 能 连 入 Intemet, 已 经 连 入 Internet 的 这 人 台 
计算 机 需要 设置 成 代理 或 NAT 服务 器 。 
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1.4.2 ”小 型 交换 网 络 
小 型 交换 网 络 是 指 通过 一 台 或 若干 台 交换 机 ， 将 一 定数 目的 计算 机 连 成 网 络 。 由 于 双 
绞 线 连接 成 本 低 、 性 能 可 靠 ， 因 此 一 般 都 选用 RJ45 接口 的 交换 机 ， 再 通过 双 绞 线 进行 连 
接 ， 如 图 1-10 所 示 。 
交换 机 = 


Internet ) 


ADSL Mod -一 
交换 机 em 
ee | 
Er EF EF 
联网 PC 
午 名 .二 
联网 PC 


图 1-10 ”小 型 交换 网 络 连接 示意 图 


需要 注意 以 下 儿 点 : 

口 每 一 台 计 算 机 内 均 应 安装 好 具有 RJ45 接口 的 网 卡 。 

口 要 注意 网 卡 、 交 换 机 和 双 绞 线 之 间 的 速率 匹配 。 

口 有 些 交 换 机 具有 级 联 口 ， 用 于 交换 机 之 间 的 连接 ， 计 算 机 不 应 该 接 在 级 联 口 上 。 

口 有 些 交 换 机 没有 级 联 口 ， 相 互 连 接 时 可 能 需要 交叉 双 绞 线 。 

上 述 网 络 连接 完成 后 , 需要 把 联网 PC 设 成 同一 个 网 段 的 人 P 地 址 , 相互 之 间 才 能 通信 。 
为 了 能 接 入 Internet， 或 者 每 台 计 算 机 均 通 过 PPPoE 拨号 ， 或 者 让 某 一 台 计 算 机 连 入 
Intemet， 并 且 配 置 代理 或 NAT 服务 器 ， 以 带动 整个 网 络 中 的 计算 机 上 网 。 


1.4.3 ”企业 网 络 


企业 网 络 相对 来 说 要 复杂 得 多 。 首 先 ， 由 于 联网 的 计算 机 数目 众多 ， 需 要 通过 划分 
VLAN 的 方式 缩小 每 个 网 段 中 的 计算 机 数目 ， 以 方便 管理 。 其 次 ， 除 了 简单 地 为 内 部 用 户 
提供 上 网 服务 外 ， 企 业内 部 可 能 还 有 很 多 的 服务 器 要 对 外 服务 ， 此 时 ， 网 络 的 安全 要 特别 
注意 。 另 外 ,由 于 上 网 计算 机 很 多 ,一 般 要 通过 专线 连 入 Internet, 网 络 的 结构 要 相对 复杂 。 
如 图 1-11 所 示 为 一 个 典型 的 企业 网 络 结构 图 。 

在 图 1-11 中 ,核心 交换 机 承担 着 整个 企业 网 络 的 数据 交换 任务 ， 其 性 能 对 网 络 的 影响 
举足轻重 。 各 种 接 入 层 交 换 机 一 般 位 于 各 幢 楼 ， 与 核心 交换 机 通过 光纤 连接 ， 用 户 PC 再 
通过 接 入 层 交 换 机 接 入 网 络 。 另 外 ， 在 核心 交换 机 中 ， 还 可 以 通过 VLAN 划分 ， 把 各 种 
PC 归 到 不 同 的 网 段 ， 以 方便 管理 。 

路 由 器 为 内 部 网 段 之 间 以 及 内 部 网 段 与 Internet 之 间 提 供 路 由 服务 。 目 前 ， 大 部 分 的 
核心 交换 机 都 是 三 层 交 换 机 ， 已 经 包含 了 路 由 功能 ， 在 这 种 情况 下 ， 单 独 的 路 由 器 设备 可 
以 省 略 。 防 火 墙 为 内 网 与 服务 器 群 提供 安全 保护 。 一 般 情 况 下 ， 为 外 界 提供 网 络 服务 的 服 
务 器 群 应 该 独立 组 成 一 个 网 段 ， 并 连接 到 防火 墙 的 一 个 独立 端口 ， 构 成 DMZ 区 。 
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核心 交换 机 ) 
接 入 层 交 换 机 接 入 层 交 换 机 
二 国 昌 量 .…. 
PC PC 


图 1-11 典型 的 企业 网 络 连 接 示意 图 
1.4.4 无 线 局 域 网 


无 线 网 络 的 组 建 与 有 线 网 络 的 组 建 是 类 似 的， 其 核心 的 设备 是 无 线 集线器 ， 通 常 称 之 
为 AP (Access Point)。 它 所 起 的 作用 与 集线器 或 交换 机 差不多 ， 也 是 跟 很 多 PC 连接 ， 然 
后 再 接 入 到 上 一 层 交 换 机 中 。 只 不 过 与 PC 连接 时 ， 使 用 的 是 无 线 信号 。 因 此 ，PC 需要 配 
置 无 线 网 卡 。 最 简单 的 一 种 无 线 网 络 如 图 1-12 所 示 。 

在 图 1-12 中 ， 无 线 AP 通过 双 绞 线 接 到 交换 机 的 某 一 RJ45 端口 ， 相 当 于 就 是 一 个 集 
线 器 。 具 有 无 线 网 卡 的 PC 通过 无 线 信 号 与 AP 建立 连接 ， 就 可 以 把 PC 接 入 网 络 。 与 集 线 
器 一 样 ， 每 一 个 AP 可 以 为 多 台 PC 提供 接 入 服务 。 

一 般 无 线 AP 都 拥有 4 种 工作 模式 ， 即 接 入 点 (AP)、AP 客户 端 (AP Client)、 无 线 
网 桥 (Wireless Bridge) 和 多 路 桥 (Multiple Bridge)， 以 适应 大 型 的 复杂 网 络 结构 。 无 线 网 
卡 一 般 是 工作 在 AP 客户 端 模式 ， 因 此 图 1-12 所 示 的 AP 应 该 工作 在 接 入 点 模式 。 另 外 
如 图 1-13 所 示 的 是 交换 机 之 间 通 过 无 线 AP 进行 连接 。 此 时 ， 两 个 AP 的 工作 模式 应 该 一 
个 是 接 入 点 ， 另 一 个 是 AP 客户 端 模式 ; 或 者 两 个 都 是 无 线 网 桥 模式 。 


无 线 接 入 


1-12 无 线 用 户 接 入 示意 图 图 1-13 交换 机 之 间 使 用 无 线 连接 


安全 也 是 无 线 AP 要 考虑 的 一 个 重要 问题 。 因 为 不 像 有 线 接 入 ， 无 线 信 号 是 很 容易 被 
其 他 设备 获取 的 。 因 此 ， 一 般 无 线 AP 都 提供 用 户 认证 和 数据 的 加 密 传 输 服务 。 
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外 说 明 : 在 实际 的 无 线 产品 中 ， 很 多 AP 还 集成 了 一 些 其 他 功能 ， 如 路 由 、DHCP、NAT 
等 ， 为 用 户 提供 了 很 大 的 方便 。 


15 本 结 


本 章 主要 讲述 了 计算 机 网 络 的 基础 知识 以 及 有 关 局 域 网 的 一 些 硬件 知识 。 计 算 机 网 络 
是 一 个 非常 复杂 的 系统 工程 , 包含 的 层次 结构 非常 多 。 对 于 架设 Linux 服务 器 的 用 户 来 说 ， 
了 解 计算 机 网 络 的 知识 非常 必要 ， 而 且 还 应 该 在 实践 过 程 中 不 断 地 学 习 网 络 知识 ， 提 高 网 
络 管理 水 平 ， 才 能 真正 管理 好 各 种 各 样 的 服务 器 。 
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服务 器 是 计算 机 网 络 中 最 重要 的 组 成 部 分 之 一 。 如 果 没 有 各 种 服务 器 提供 的 网 络 服 
务 ， 则 计算 机 网 络 的 意义 将 大 打折 扣 ， 网 络 的 应 用 也 就 不 会 像 今天 这 么 丰富 。 本 章 主要 介 
绍 与 Linux 服务 器 架设 有 关 的 规划 ， 包 括 网 络 方面 的 规划 、 服 务 器 硬件 规划 和 Linux 操作 
系统 的 有 关内 容 。 


2.1 网 络 规 划 


网 络 建设 是 一 项 涉及 建 网 需求 分 析 、 网 络 规划 、 可 行 性 论证 、 产 品 选择 、 工 程 施工 、 
人 员 培 训 等 许多 方面 的 系统 工程 ， 需 要 考虑 、 解 决 的 问题 较 多 。 这 项 系统 工程 实施 的 目的 
就 是 要 建成 一 个 性 能 价格 比 最 优 的 网 络 。 本 节 主 要 介绍 有 关 网 络 规划 方面 的 基本 知识 ， 包 
括 需求 分 析 、 网 络 设计 准则 、 硬 件 与 系统 软件 平台 等 内 容 。 


2.1.1 需求 分 析 


在 规划 建设 计算 机 网 络 时 ， 一 项 重要 工作 是 进行 需求 分 析 。 计 算 机 网 络 需 求 主要 包括 
需求 分 析 主 要 包括 收集 需求 和 编制 需求 说 明 书 两 项 工作 。 

业务 需求 分 析 的 目标 是 明确 企业 的 业务 类 型 、 应 用 系统 软件 的 种 类 ， 以 及 它们 对 网 络 
的 带宽 、 服 务 质量 的 要 求 。 业 务 需 求 分 析 是 企业 建 网 中 的 首要 环节 ， 是 进行 网 络 规划 与 设 
计 的 基本 依据 。 业 务 需求 分 析 主 要 分 析 以 下 几 个 方面 的 情况 。 
计划 投入 的 资金 规模 ; 
需要 实现 或 改进 的 网 络 功能 ; 
需要 集成 的 企业 应 用 ; 
需要 架设 的 系统 应 用 (电子 邮件 服务 器 、Web 服务 器 、 视 频 服务 器 等 ); 

内 部 网 络 需 要 多 大 的 带宽 ; 
是 不 是 要 连 入 Internet， 以 及 所 需 的 带宽 ， 
需要 什么 样 的 数据 共享 模式 。 

在 规划 企业 网 络 时 ， 对 网 络 管理 的 规划 是 必 不 可 少 的 。 当 网 络 运行 时 ， 是 否 按照 设计 
目标 提供 稳定 的 服务 ， 主 要 依靠 有 效 的 网 络 管理 。 高 效 的 网 络 管理 策略 能 提高 网 络 的 运营 
效率 ， 建 网 之 初 就 应 该 重视 这 些 策略 ， 并 对 其 进行 规划 。 网 络 管理 需求 应 该 包括 以 下 几 个 
方面 的 内 容 。 

口 网 络 管理 人 员 的 技术 水 平 ; 

口 确定 是 否 需 要 网 管 软件 ; 
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口 需要 哪些 管理 功能 ， 如 计 费 功能 、 日 志 功能 、 上 网 速率 限制 功能 等 ; 

口 是 否 需要 跟踪 和 分 析 处 理 网 络 运行 信息 ; 

口 是 否 采用 了 易于 管理 的 设备 和 布线 方式 ; 

口 是 否 需要 对 网 络 进行 远程 管理 。 

Internet 的 出 现 极 大 地 满足 了 人 们 对 各 种 各 样 信息 的 需求 , 给 人 们 的 工作 、 生 活 带 来 了 
很 大 的 方便 ， 同 时 也 丰富 了 人 们 的 生活 。 但 是 ， 随 之 而 来 的 网 络 安全 问题 也 给 人 们 带 来 了 
很 大 的 困扰 。 网 络 中 的 各 种 设备 及 计算 机 每 时 每 刻 都 受到 了 安全 的 威胁 ， 为 了 确保 企业 网 
络 的 整体 安全 ， 需 要 分 析 并 明确 以 下 一 些 安全 性 需求 。 

网 络 遵循 的 安全 规范 和 达到 的 安全 级 别 ; 

企业 敏感 性 数据 的 安全 级 别 及 其 分 布 情况 ; 

网 络 用 户 的 安全 级 别 及 信息 访问 控制 ; 

可 能 存在 的 安全 漏洞 ， 以 及 这 些 漏洞 对 系统 的 影响 程度 ; 
对 网 络 设备 的 安全 功能 要 求 ; 

系统 软件 与 应 用 软件 的 安全 评估 ; 

防毒 与 防火 墙 技 术 方案 ; 

灾难 恢复 需求 。 

通信 量 需 求 是 从 网 络 应 用 出 发 ， 对 当前 技术 条 件 下 可 以 提供 的 网 络 带宽 做 出 评估 。 主 

要 考虑 以 下 几 个 方面 。 

未 来 有 没有 对 高 带宽 服务 的 需求 ， 

口 本 地 能 够 提供 的 Intemet 接 入 方式 有 哪些 ; 

口 需要 使 用 什么 样 的 传输 介质 ; 

口 内 部 服务 器 的 访问 量 有 多 大 (包括 内 网 和 外 网 的 访问 量 ); 

口 用 户 对 网 络 访问 的 特殊 要 求 ; 
口 
口 


DOOOOOODO 


口 


哪些 网 络 设备 能 提供 合适 的 带宽 且 性 价 比较 高 
服务 器 和 网 络 应 用 是 否 支 持 负载 均衡 。 
网 络 的 扩展 性 主要 有 两 层 含义 。 其 一 是 指 现 有 网 络 能 够 通过 增加 设备 简单 地 扩展 ; 其 
二 是 指 新 增加 的 应 用 能 够 无 颖 地 在 现 有 网 络 上 运行 。 扩 展 性 需求 主要 要 明确 以 下 指标 。 
口 企业 新 的 需求 会 是 哪些 ; 
口 现存 的 网 络 设备 和 计算 机 资源 情况 ; 
口 需要 淘汰 哪些 设备 ， 哪 些 设备 还 可 以 继续 保留 使 用 ; 
口 需要 多 大 的 网 络 布线 和 交换 机 端口 的 预 留 比率 ; 
口 核心 设备 的 升级 性 能 。 
网 络 环境 是 企业 的 地 理 环境 和 建筑 布局 ， 分 析 网 络 环境 需求 时 需要 确定 企业 内 的 建筑 
群 位 置 、 建 筑 物 内 的 弱电 间 、 配 电 房 的 位 置 、 所 需 的 信息 点 数目 等 内 容 。 


2.1.2 目标 与 设计 原则 


计算 机 网 络 建设 是 一 项 系统 工程 。 在 建设 初期 就 应 该 确定 网 络 建 设 的 总 体 目标 ， 再 进 
行 严 格 的 规划 设计 。 网 络 建设 的 总 体 目标 就 是 在 一 定时 期 之 内 ， 网 络 建设 完成 之 后 所 能 达 
到 的 功能 与 规模 。 通 常 ， 由 于 资金 的 限制 以 及 现 有 网 络 技术 的 发 展 趋势 ， 网 络 建设 的 总 体 
目标 无 论 是 功能 还 是 规模 都 应 该 是 分 阶段 完成 的 。 所 以 ， 在 进行 网 络 规划 设计 时 ， 不 仅 要 
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充分 考虑 对 网 络 现 有 资源 的 利用 ， 还 要 考虑 到 将 来 进一步 的 升级 改造 或 后 期 建设 需要 。 
企业 网 络 设计 是 否 合理 ， 对 计算 机 网 络 的 未 来 发 展 和 产生 的 效益 起 着 极为 重要 的 作 
。 所 以 ， 在 进行 企业 网 络 设计 时 应 当 遵循 “整体 规划 、 分 步 实 施 ” 的 方针 。 整 体 方案 的 
设计 需要 考虑 各 阶段 的 情况 ， 进 行 统一 规划 和 设计 。 有 具体 来 说 ， 网 络 设计 要 遵循 下 面 的 一 
些 原则 。 


1. 先进 性 


计算 机 网 络 技术 的 发 展 其 为 迅速 ， 网 络 建设 应 该 要 有 超前 意识 ， 要 具备 先进 的 设计 思 
想 ， 并 采用 先进 的 网 络 结构 和 开发 工具 ， 同 时 要 使 用 市 场 占 有 率 高 、 标 准 化 和 技术 成 熟 的 
软 硬 件 产品 。 只 有 这 样 ， 才 能 保证 网 络 系 统 具 有 较 强 的 生命 力 ， 在 可 见 的 时 间 范 围 内 不 至 
于 落后 或 被 淘汰 。 

2. 实用 性 


在 设计 系统 时 ， 应 以 满足 应 用 需求 为 主 ， 不 追求 最 高 、 最 新 。 同 时 还 要 充分 考虑 现 有 
网 络 资源 的 利用 ， 充 分 发 挥 现 有 设备 的 效益 ， 保 证 系统 和 应 用 软件 功能 完善 、 界 面 友好 ， 
以 及 兼容 性 强 。 


3. 开放 性 


在 设计 网 络 时 ， 应 该 尽量 采用 开放 的 技术 、 结 构 、 系 统 组 件 和 用 户 接口 ， 能 兼容 各 种 
不 同类 型 的 拓扑 结构 ， 具 有 良好 的 网 络 互联 性 。 同 时 要 考虑 到 良好 的 升级 能 力 、 维 护 方便 
以 及 适应 今后 大 容量 带宽 的 需求 。 


4. 灵活 性 


尽量 采用 模块 化 组 合 和 结构 化 设计 ， 能 进行 灵活 多 样 的 系统 配置 ， 满 足 逐 步 到 位 的 网 
络 建设 需求 ， 使 网 络 具有 强大 的 可 增长 性 ， 并 方便 管理 和 维护 。 


5. 可 扩展 性 


网 络 规划 设计 要 预见 技术 发 展 趋势 ， 满 足 网 络 不 断 发 展 的 要 求 ， 尽 量 使 目前 采用 的 技 
术 能 顺利 过 渡 到 下 一 代 的 主流 网 络 技术 。 


6. 安全 性 
应 该 建立 完善 的 安全 管理 体系 ， 提 供 多 层次 安全 防护 ， 以 防止 数据 受到 攻击 和 破坏 。 
7. 可 靠 性 


重要 系统 应 该 要 具有 容错 能 力 ， 对 网 络 设计 、 设 备 选 型 、 系 统 的 安装 和 调试 等 各 个 环 
节 进 行 统一 规划 和 分 析 ， 严 格 按 规范 操作 ， 确 保 系 统 能 可 靠 地 运行 。 


8. 经 济 性 
要 控制 投资 预算 ， 所 建设 的 网 络 要 具有 良好 的 性 能 价格 比 。 
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外 说 明 : 一 般 情 况 下 ， 网 络 建设 不 可 能 一 步 到 位 ， 需 要 区 分 近期 目标 和 远 期 目标 。 其 中 ， 
近期 目标 就 是 根据 用 户 的 实际 需求 设计 和 建设 网 络 , 建设 好 的 网 络 要 能 够 满足 当 
前 的 实际 需求 , 而且 其 功能 和 规模 还 应 考虑 未 来 网 络 的 升级 改造 或 后 期 工程 的 建 
设 ， 以 有 利于 远 期 目标 的 实现 。 


2.1.3 ”硬件 和 系统 软件 平台 的 规划 


网 络 硬件 平台 主要 包括 交换 机 、 路 由 器 、 服 务 器 等 硬件 设备 ， 而 软件 平台 主要 包括 网 
络 操作 系统 、 数 据 库 系统 等 软件 ， 它 们 共同 构成 了 计算 机 网 络 的 基础 平台 ， 所 有 的 网 络 应 
用 系统 都 要 运行 在 这 个 基础 平台 上 。 下 面 介绍 这 些 软 硬 件 平台 的 规划 与 选用 原则 。 


1. 交换 机 


对 于 一 个 一 定 规模 的 企业 网 络 来 说 ， 核 心 交换 机 担负 着 整个 企业 网 络 内 所 有 信息 的 交 
换 工作 ， 因 此 ， 其 性 能 将 决定 整个 网 络 的 整体 性 能 。 根 据 用 户 需 求 的 不 同 ， 应 该 选择 相应 
功能 的 核心 交换 机 。 目 前 主干 网 普遍 采用 干 兆 以 太 网 技术 ， 一 般 选用 具有 三 层 交 换 能 力 的 
三 层 交 换 机 。 

选择 第 三 层 交 换 机 时 ， 首 先 要 分 析 各 种 产品 的 性 能 指标 ， 如 交换 容量 、 背 板 带宽 、 处 
理 能 力 、 吞 吐 量 等 ;其 次 要 考虑 其 工作 是 否 安全 可 靠 ， 功 能 是 否 齐全 ;还 有 就 是 扩展 能 力 
是 否 满足 企业 未 来 的 发 展 需要 。 不 同 品牌 、 型 号 的 核心 交换 机 其 性 能 、 稳 定性 、 价 格 等 相 
差 很 大 ， 需 要 根据 资金 预算 及 业务 要 求 进行 综合 考虑 与 选择 。 

汇聚 或 接 入 层 交 换 机 主要 实现 企业 网 络 各 子 网 内 部 之 间 的 信息 交换 ， 汇 聚 层 交 换 机 通 
过 与 核心 交换 机 直接 相连 实现 整个 企业 网 内 信息 的 交换 。 相 对 核心 交换 机 来 说 ， 接 入 层 交 
换 机 对 网 络 性 能 的 影响 要 小 ， 但 数量 众多 。 因 此 ， 在 资金 预算 比较 紧张 的 情况 下 ， 可 以 选 
择 档 次 相对 较 低 的 品牌 和 型 号 。 


2. 客户 机 与 服务 器 


在 企业 网 络 中 ， 计 算 机 是 最 主要 的 设备 ， 是 网 络 中 最 基本 的 组 成 单元 ， 用 户 是 通过 计 
算 机 来 使 用 网 络 所 提供 的 功能 的 。 数 据 的 存储 、 传 输 以 及 处 理 等 各 项 工作 都 必须 通过 网 络 
中 各 种 各 样 的 计算 机 才能 实现 。 网 络 中 的 计算 机 根据 其 功能 的 不 同 可 以 分 为 服务 器 和 客户 
机 两 种 。 

客户 机 是 普通 上 网 时 使 用 的 计算 机 ， 它 不 断 地 向 网 络 服务 器 发 出 服务 请 求 ， 并 进行 数据 
传输 。 服 务 器 是 向 客户 机 提供 网 络 服务 的 计算 机 。 相 对 来 说 ， 服 务 器 要 重要 得 多 。 因 此 在 服 
务 器 的 选择 上 首先 应 考虑 其 稳定 性 与 可 靠 性 ， 其 次 才 是 服务 器 的 技术 参数 指标 。 网 络 服务 器 
必须 要 有 强大 的 处 理 能 力 ， 可 靠 性 高 ， 容 易 管理 和 维护 ， 并 具有 一 定 的 扩展 和 升级 能 力 。 


3. 网 络 操作 系统 


网 络 操作 系统 是 运行 在 服务 器 上 , 为 网 络 用 户 提供 共享 资源 管理 服务 、 基 本 通信 服务 、 
网 络 系统 安全 服务 ， 以 及 其 他 一 些 网 络 服务 的 最 重要 的 系统 软件 。 网 络 操作 系统 是 企业 网 
络 软件 的 核心 部 分 ， 其 他 的 应 用 系统 软件 都 必须 要 有 网 络 操作 系统 的 支持 才能 正常 运行 。 
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开 


选择 网 络 操作 系统 时 ， 需 要 考虑 以 下 几 方 面 的 内 容 。 
口 网 络 操作 系统 的 主要 功能 、 优 势 ， 以 及 配置 能 否 满足 用 户 的 基本 需求 ; 
口 网 络 操作 系统 的 生命 周期 如 何 ; 
口 网 络 操作 系统 是 否 符合 技术 的 发 展 趋势 ; 
口 支持 该 网 络 操作 系统 的 应 用 软件 是 否 丰富 。 


4. 数据 库 系统 


数据 库 系统 是 对 各 种 应 用 系统 产生 的 数据 进行 存储 和 管理 的 系统 ， 其 性 能 将 对 用 户 的 
应 用 系统 有 很 大 的 影响 。 目 前 数据 库 市 场 上 可 以 选择 的 产品 非常 多 ， 包 括 Oracle、SQL 
Server、Access、MySQL、DB2、Paradox 等 主流 的 数据 库 产 品 。 选 择 一 个 合适 的 数据 库 需 
要 考虑 以 下 一 些 因素 。 
数据 库 的 使 用 者 ， 以 及 需要 执行 的 任务 ; 
口 数据 库 更 新 数据 的 频率 高 不 高 ? 由 谁 来 负责 数据 的 更 新 ? 
口 由 谁 负责 数据 库 的 技术 支持 ?由 谁 负责 数据 库 维护 ? 
口 企业 为 数据 库 系 统 提供 的 硬件 设施 ， 以 及 现 有 的 和 将 来 的 预算 ; 
数据 的 访问 权限 是 否 要 设置 ， 如 果 进 行 设置 ， 需 要 哪些 级 别 的 访问 权限 ? 

以 上 是 有 关 企业 网 络 中 关键 系统 的 规划 与 设计 原则 。 只 有 这 些 关 键 系统 性 能 稳定 、 工 
作 可 靠 ， 整 个 企业 网 络 的 性 能 才能 得 到 保障 。 


口 


口 


2.2 Linux 服务 器 硬件 规划 


作为 服务 器 的 计算 机 一 般 需 要 24 小 时 开机 ， 工 作 不 能 间断 。 因 此 ， 与 普通 的 作为 客 
户 机 的 计算 机 相 比 ， 服 务 器 的 硬件 需要 具备 更 高 的 性 能 。 本 节 主 要 介绍 CPU、 内 存 、 硬 盘 、 
网 卡 等 服务 器 硬件 对 Linux 系统 及 其 所 运行 的 网 络 服务 性 能 的 影响 以 及 选用 的 一 些 原则 。 


2.2.1 对 CPU 的 要 求 


CPU 也 称 为 中 央 处 理 单元 ， 是 计算 机 系统 的 核心 部 件 。 它 的 功能 是 进行 数值 的 比较 、 
数学 运算 以 及 执行 一 些 控制 指令 。CPU 对 整个 计算 机 系统 其 他 方面 的 设计 有 着 决定 性 的 影 
响 。 对 于 Linux 系统 来 说 ， 它 可 以 在 多 种 类 型 和 型 号 的 CPU 上 运行 ，CPU 的 性 能 对 Linux 
系统 的 性 能 有 着 重要 的 影响 。 

从 最 基本 的 层次 来 看 ，CPU 的 体系 结构 决定 了 它们 所 能 识别 的 程序 指令 类 型 , 不 同体 
系 结构 的 CPU 要 求 有 不 同 的 二 进 制 指令 代码 。 一 般 来 说 ， 每 种 类 型 的 CPU 都 有 一 种 特定 
的 体系 结构 ， 并 且 届 于 某 家 计算 机 公司 所 有 。 例 如 ，Motorola 公司 是 PowerPC 体系 结构 
CPU 的 所 有 者 。Linux 系统 对 CPU 体系 结构 的 适应 范围 很 广 , 可 以 在 多 种 体系 结构 的 CPU 
上 运行 。 

Intel 公司 的 x86 体系 结构 的 CPU 目前 最 为 流行 ，Linux 系统 最 早 开 发 时 ,使 用 的 就 是 
这 种 类 型 的 CPU， 后 来 才 逐 渐 移 植 到 其 他 CPU 平台 上 。 由 于 x86 体系 结构 的 CPU 是 如 此 
的 成 功 ， 并 且 其 所 有 的 技术 资料 是 完全 公开 的 。 因 此 ， 很 多 其 他 公司 也 生产 x86 体系 结构 
的 CPU, 如 AMD、Cyrix、IBM 等 。 它们 生产 的 CPU 也 称 为 兼容 CPU， 其 核心 功能 与 Intel 
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公司 生产 的 CPU 是 一 样 的 ，Linux 完全 可 以 运行 在 这 些 兼 容 CPU 上 。 

Intel 系列 CPU 的 型 号 非常 多 ， 并 且 还 在 不 断 地 发 展 。 从 最 早 的 8088、8086、80286、 
80386、80486 到 后 来 的 Pentium、Pentium II、Pentium II， 以 及 最 新 的 酷 蹇 这 系列， 性 能 
有 了 突飞猛进 的 发 展 . 男 外 , Intel 公司 还 开发 了 专门 用 于 服务 器 的 CPU, 如 Xeon、Xeon MP、 
Itanium 2 等 。 

实际 上 ，Linux 操作 系统 对 服务 器 平台 的 CPU 要 求 并 不 高 ， 或 者 说 ，CPU 档次 的 高 低 
对 Linux 服务 器 的 性 能 影响 并 不 是 很 大 。 这 是 因为 Linux 操作 系统 是 数据 密集 型 的 软件 ， 
其 上 面 运行 的 网 络 服务 也 大 都 是 属于 数据 密集 型 的 。 


外 说 明 : 最 新 的 RHEL 6.3 还 对 Intel 酷 寄 15、i7 做 了 相应 优化 。 


但 是 , 如 果 在 Linux 服务 器 上 运行 的 某 些 服务 是 属于 计算 密集 型 的 ， 则 对 CPU 的 要 求 
还 是 很 高 的 。 例 如 ， 某 些 低档 的 打印 机 连接 Linux 打印 服务 器 ， 但 需要 Linux 打印 服务 器 
提供 PostScript 打印 功能 ， 这 是 一 项 计算 量 很 大 的 任务 ， 需 要 高 性 能 的 CU， 否则， 打印 
的 速度 将 会 受到 影响 。 再 例如 ， 构 成 集群 的 Linux 服务 器 如 果 接 受 了 一 些 科学 计算 任务 ， 
也 需要 高 性 能 的 CPU。 


2.2.2 ”对 内 存 的 要 求 


任何 一 台 计 算 机 都 必须 拥有 内 存 ， 而 且 计算 机 为 了 完成 不 同 的 任务 ， 还 使 用 不 止 一 种 
类 型 的 内 存 。 最 常见 的 内 存 分 类 方法 是 分 为 RAM 和 ROM, 前 者 可 以 随时 进行 读 和 写 操作 ， 
但 掉 电 时 ， 里 面 所 存储 的 信息 将 全 部 消失 。 后 者 只 能 往外 读 ， 不 能 往 里 写 ， 但 掉 电 时 ， 里 
面 的 信息 不 会 丢失 。 一 般 提 到 内 存 时 ， 都 是 指 RAM。 对 于 Linux 系统 来 说 ，ROM 对 它 的 
性 能 是 没有 影响 的 ， 但 RAM 的 影响 很 大 。 

每 块 主板 可 以 有 多 种 等 级 的 内 存 ， 一 般 地 ， 较 低级 的 内 存 成 本 也 低 。 系 统 使 用 比较 快 
的 内 存 作为 高 速 缓存 (Cache)， 它 离 CPU 较 近 ,用 来 保存 很 快 就 可 能 会 被 再 次 使 用 的 数据 
和 指令 。 在 这 种 方式 下 ，CPU 在 大 部 分 的 时 间 里 使 用 的 都 是 快速 的 存储 器 ， 只 有 在 需要 时 
才 使 用 低速 的 存储 器 。 此 时 ， 内 存 可 以 分 为 以 下 几 种 类 型 。 

一 种 是 CPU 内 部 Cache， 它 是 最 快 但 容量 最 小 的 一 种 存储 器 类 型 ， 位 于 CPU 内 部 ， 
用 户 是 无 法 添加 和 减少 的 。CPU 内 部 Cache 也 称 为 LI Cache。 

还 有 一 种 是 L2 Cache， 它 位 于 主板 上 ， 通 常 是 固定 的 。L2 Cache 的 速度 比 L1 Cache 
低 ， 但 容量 要 大 。 根 据 需 要 ， 还 可 能 有 L3 或 L4 的 Cache。 

最 后 一 种 是 主 存储 器 ， 它 的 容量 最 大 ， 速 度 也 最 慢 ， 用 户 可 以 根据 需要 增加 或 减少 。 
主 存储 器 的 大 小 对 计算 机 的 性 能 有 很 重要 的 影响 ， 现 代 的 操作 系统 一 般 都 可 以 使 用 虚拟 内 
存 ， 虽 然 很 少 因为 内 存 不 够 而 不 能 执行 ， 但 主 存储 器 太 小 时 ， 会 严重 影响 性 能 ， 因 为 此 时 
计算 机 需要 在 主 存 储 器 和 磁盘 之 间 频 繁 交 换 数据 。 


县 说明: 目前 主流 的 计算 机 其 内 存在 4GB 以 上 ， 服 务 器 一 般 有 8GB、16GB 或 更 多 。 


内 存 对 Linux 服务 器 性 能 的 影响 非常 大 ， 大 部 分 的 服务 器 为 用 户 提 供 服务 时 ， 需 要 为 
每 一 个 客户 端 连接 派生 出 一 个 子 进程 ， 专 门 用 于 处 理 该 连接 的 事务 。 而 每 一 个 进程 都 是 需 
要 占用 一 定 的 内 存 的 。 如 果 用 户 的 并 发 连接 数 很 多 ， 就 需要 很 多 的 进程 ， 也 就 需要 很 多 的 
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内 存 。 如 果 内 存 不 够 ， 需 要 频繁 切换 到 虚拟 内 存 时 ， 将 会 严重 影响 性 能 。 

另外 ， 内 存 还 有 一 个 作用 是 作为 磁盘 缓冲 区 。 当 Linux 从 磁盘 读 取 文 件 时 ， 会 把 文件 
的 内 容 暂时 保存 在 磁盘 缓冲 区 ， 以 便 下 次 读 取 相 同 内容 时 ， 可 以 直接 从 缓冲 区 中 读 取 。 由 
于 内 存 的 访问 速度 大 大 高 于 磁盘 的 访问 速度 ， 因 此 可 以 大 大 改善 性 能 。 有 些 服务 器 ， 如 
Web、FTP 等 ， 某 些 文件 可 能 会 频繁 地 被 用 户 访问 。 如 果 有 足够 大 的 磁盘 缓冲 区 用 于 缓存 
这 些 文件 ， 则 可 以 显著 地 改善 服务 器 性 能 。 


2.2.3 ”对 硬盘 的 要 求 


理想 状态 下 ， 当 操作 系统 读 取 文件 时 ， 第 一 次 从 磁盘 中 读 取 ， 以 后 所 有 同样 的 数据 都 
可 以 从 内 存 的 磁盘 缓冲 区 中 读 取 。 也 就 是 说 ， 操 作 系 统 基本 上 不 对 硬盘 进行 读 写 。 但 这 实 
际 上 是 不 可 能 的 ， 一 台 正 常 工 作 的 服务 器 总 是 要 经 常 地 读 写 硬 盘 ， 对 于 某 些 繁忙 的 服务 器 
来 说 , 更 是 要 频繁 地 读 写 硬盘 中 的 数据 。 因 此 , 硬盘 的 读 写 速 度 对 服务 器 性 能 有 重大 影响 。 

影响 硬盘 读 写 速度 的 一 个 重要 性 能 指标 是 盘 片 转速 。 盘 片 转 得 快 ， 就 可 以 从 机 械 方面 
保证 硬盘 有 较 高 的 读 写 速度 ， 目 前 盘 片 的 转速 一 般 可 以 达到 每 分 钟 1 万 转 。 还 有 一 个 指标 
是 接口 类 型 , 作为 服务 器 , 一 般 采 用 一 种 名 为 SCSI 的 接口 总 线 , 它 比 普通 计算 机 上 的 EIDE 
接口 具有 更 好 的 速度 和 其 他 一 些 性 能 。 

内 部 传输 率 的 高 低 是 评价 一 个 硬盘 整体 性 能 的 主要 因素 。 硬 盘 数 据 传 输 率 分 为 内 部 和 
外 部 传输 率 。 通 常 外 部 传输 率 也 称 为 接口 传输 率 ， 是 指 从 硬盘 的 缓存 中 向 外 输出 数据 的 速 
度 ， 目 前 最 快 的 SCSI 接口 的 外 部 传输 率 已 经 达到 了 160Mbps。 内 部 传输 率 也 称 最 大 或 最 
小 持续 传输 率 ， 是 指 硬盘 在 盘 片上 读 写 数据 的 速度 ， 现 在 的 主流 硬盘 大 多 在 30Mbps 到 
60Mbps 之 间 。 


全 说 明 ; 由 于 内 部 传输 率 可 以 明确 表现 出 硬盘 的 读 写 速度 ， 所 以 它 的 高 低 才 是 评价 一 个 硬 
盘整 体 性 能 的 决定 性 因素 ， 它 是 衡量 硬盘 性 能 的 真正 标准 。 


还 可 以 通过 添加 多 个 物理 硬盘 来 改善 磁盘 读 写 速度 。 例 如 ， 有 些 文件 经 常会 被 不 同 的 
户 同时 访问 。 如 果 文 件 在 同一 张 磁 盘 上 ， 磁 头 将 在 多 个 文件 之 间 来 回 变换 位 置 ， 读 取 文 
件 的 速度 将 大 大 降低 ， 对 用 户 来 说 服务 质量 将 会 下 降 。 如 果 考 虑 到 这 种 情况 ， 有 意识 地 把 
这 些 文件 分 别 存放 在 不 同 的 硬盘 上 ， 则 可 以 同时 读 取 这 些 文件 ， 大 大 提高 了 性 能 。 

还 有 一 种 改善 磁盘 IO 性 能 的 手段 是 采用 RAID 技 术 .RAID 也 称 为 独立 元 余 磁 盘 阵 列 ， 
简单 地 说 ， 就 是 将 多 个 硬盘 通过 RAID 卡 组 合成 虚拟 单 台 大 容量 的 硬盘 使 用 ， 其 特点 是 可 
以 对 多 个 硬盘 同时 进行 操作 ， 以 提高 速度 ， 并 提供 容错 性 。 

至 于 硬盘 的 容量 ， 则 要 取决 于 应 用 服务 的 需要 。 就 Linux 系统 本 身 而 言 ， 在 进行 普通 
安装 时 ，1GB 的 空间 基本 上 就 可 以 了 , 但 有 些 服 务 可 能 需要 大 量 的 磁盘 空间 ， 如 FTP 服务 
器 、 视 频 服务 器 等 。 而 某 些 服务 需要 的 磁盘 空间 可 能 不 多 ， 如 DNS 服务 器 、SSH 服务 器 ， 
以 及 DHCP 服务 器 等 。 


2.2.4 有 关 网 卡 的 建议 


对 于 普通 的 计算 机 来 说 ， 网 卡 的 性 能 可 能 对 网 络 速度 影响 不 大 ， 但 对 于 网 络 服务 器 来 
说 ， 其 性 能 却 是 至 关 重 要 的 。 网 卡 虽 然 在 整 台 服 务 器 中 所 占 的 投资 比例 不 高 ， 但 如 果 性 能 
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不 够 ， 其 他 硬件 即使 再 好 也 是 不 能 发 挥 作用 的 ， 因 为 服务 器 无 法 足够 快 地 把 数据 发 送 到 网 
络 上 。 

有 些 网 卡 是 为 了 适应 网 络 服务 器 的 工作 特点 而 专门 设计 的 。 它 的 主要 特征 是 采用 了 专 
用 的 控制 芯片 ， 大 量 的 工作 由 这 些 芯片 直接 完成 ,减轻 了 服务 器 CPU 的 工作 负荷 。 对 于 服 
务 器 来 说 ， 应 该 尽量 选用 这 种 类 型 的 网 卡 。 

目前 ， 以 太 网 网 卡 按 传 输 速度 来 分 可 以 有 10Mbps、100Mbps、10/100Mbps 及 10/100/ 
1 000Mbps 自 适应 几 种 。 对 于 大 数据 量 网 络 应 用 来 说 ， 服 务 器 应 该 采用 千 光 以太 网 网 卡 ， 
以 避免 出 现 性 能 瓶颈 。 同 时， 大 部 分 的 服务 器 采用 的 是 基于 PCI-X 或 PCI-E 的 总 线 架构 。 

为 了 适应 服务 器 的 需要 ， 还 可 以 使 用 其 他 一 些 与 网 卡 有 关 的 技术 。 例 如 ，AFT 是 一 种 
在 服务 器 和 交换 机 之 间 建 立 宛 余 连接 的 技术 。 它 在 服务 器 上 安装 两 块 网 卡 , 一 块 为 主 网 卡 ， 
另 一 块 作为 备用 网 卡 ， 然 后 把 两 块 网 卡 都 连接 到 交换 机 上 。 当 主 网 卡 工 作 时 ， 智 能 软件 通 
过 备用 网 卡 对 主 网 卡 及 连接 状态 进行 监测 ,发送 特殊 设计 的 “试探 包 ”。 当主 网 卡 连接 失效 
时 ,“ 试 探 包 ”将 无 法 到 达 主 网 卡 。 此 时 ， 智 能 软件 将 立即 启用 备用 网 卡 ， 使 服务 器 能 继续 
工作 。 

ALB 也 称 为 网 卡 负载 均衡 ， 它 通过 在 多 块 网 卡 之 间 平 衡 数据 流量 来 增加 吞吐 量 ， 是 一 
种 让 服务 器 更 多 更 快 地 传输 数据 的 技术 。 在 ALB 中 ,服务 器 每 增加 一 块 网 卡 ， 就 能 增加 一 
条 相应 速度 的 通道 。 另 外 ，ALB 还 具有 容错 功能 。 当 一 块 网 卡 失效 时 ， 其 他 网 卡 可 以 承担 
该 网 卡 的 流量 。ALB 技术 无 需 划分 网 段 ， 网 络 管理 员 只 需 在 服务 器 上 安装 两 块 具 有 ALB 
功能 的 网 卡 ， 并 把 它们 配置 成 ALB 状态 ， 就 可 以 方便 地 解决 网 络 通道 瓶颈 问题 。 


2.3 Linux 操作 系统 


Linux 操作 系统 是 一 种 免费 、 源 码 开放 的 类 UNIX 系统 。 它 继承 了 UNIX 功能 强大 、 
性 能 稳定 、 网 络 功能 强 等 特点 ， 并 具有 良好 的 硬件 平台 移植 性 。 本 节 主 要 介绍 有 关 Linux 
操作 系统 的 内 容 ， 包 括 Linux 的 起 源 、 特 点 、 各 种 发 行 版 ， 以 及 Red Hat 公司 为 企业 应 用 
开发 的 Red Hat Enterprise Linux。 


2.3.1 Linux 的 起 源 


早期 的 UNIX 是 一 些 大 型 服务 器 或 工作 站 上 使 用 的 操作 系统 ， 而 且 一 般 是 和 计算 机 硬 
件 一 起 出 售 的 。 由 于 这 些 计算 机 系统 价格 非常 昂贵 ， 因 此 只 是 在 企业 的 核心 应 用 中 使 用 ， 
无 法 得 到 普及 。 由 于 UNIX 功能 强大 ， 许 多 系统 开发 人 员 便 尝试 着 把 它 移植 到 相对 廉价 的 
PC 机 上 使 用 。 当 时 最 为 成 功 的 是 Minix 系统 ,， 它 是 一 种 免费 、 源 码 开放 的 类 UNIX 操作 系 
统 , 经 常用 于 教学 目的 。 随 后, 许多 人 便 以 Minix 系统 为 参考 , 开发 自己 的 操作 系统 , Linux 
操作 系统 就 是 在 这 样 一 种 背景 下 出 现 的 。 

Linux 操作 系统 核心 最 早 是 由 芬兰 一 位 名 叫 Linus Torvalds 的 学 生 于 1991 年 8 月 发 布 
在 Internet 上 的 。 他 当时 出 于 学 习 与 研究 目的 ， 希 望 能 编写 一 个 “ 比 Minix 更 好 的 Minix ”， 
于 是 在 Minix 系统 的 基础 上 开发 了 最 原始 的 Linux 内 核 。 

由 于 Linus 把 Linux 奉献 给 了 自由 软件 基金 会 的 GNU 计划 ， 并 公布 了 所 有 的 源 代码 ， 

此 , 任何 人 都 可 以 从 Internet 上 下 载 、 使 用 、 分 析 、 修改 Linux 操作 系统 。 借 助 于 Internet 


| 
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的 传播 ，Linux 得 到 了 迅速 的 成 长 ， 来 自 全 世界 各 地 的 顶尖 软件 工程 师 不 断 地 对 其 进行 修 
改 和 完善 ， 终 于 在 1994 年 完成 并 发 布 了 Linux 的 第 一 个 版 本 一 一 Linux 1.0 版 。 

虽然 Linux 是 参考 Minix 开发 的 , 但 实际 上 与 Minix 有 着 很 大 的 不 同 。Minix 采用 的 是 
微 内 核 技术 ， 而 Linux 采用 了 有 具有 动态 加 载 模块 特性 的 单 内 核 技术 。 同 时 ，Linux 具备 标 
准 UNIX 系统 所 具备 的 全 部 特征 ， 包 括 多 任务 、 虚 拟 内存 、 共 享 库 、 按 需 装 载 及 TCP/IP 
网 络 支 持 等 。 

由 于 许多 志愿 开发 者 的 协同 工作 ，Linux 操作 系统 的 功能 日 益 强大 ， 各 种 性 能 不 断 完 
善 ， 在 全 球 得 到 了 迅速 普及 ， 在 服务 器 领域 及 个 人 桌面 上 得 到 越 来 越 多 的 应 用 ， 在 嵌入 式 
开发 方面 更 是 具有 其 他 操作 系统 无 可 比拟 的 优势 。 现 在 ，Linux 凭借 优秀 的 设计 ， 不 凡 的 
性 能 ， 加 上 IBM、INTEL、CA、CORE、ORACLE 等 国际 知名 企业 的 大 力 支 持 ， 市 场 份额 
逐步 扩大 ， 逐 渐 成 为 主流 的 操作 系统 之 一 。 


2.3.2 Linux 的 特点 


最 近 几 年 ，Linux 操作 系统 得 到 了 迅 狐 的 发 展 ， 尤 其 是 在 中 高 端 服务 器 领域 ， 更 是 得 
到 了 广泛 的 应 用 。 许 多 知名 的 计算 机 软 硬 件 生产 厂商 都 推出 了 采用 Linux 作为 操作 系统 平 
台 的 产品 。Linux 之 所 以 受到 如 此 青睐 , 与 其 所 具备 的 特色 是 密切 相关 的 。 简单 地 说 , Linux 
主要 具有 以 下 几 个 特点 。 


1. Linux 是 免费 的 自由 软件 


Linux 是 一 种 遵守 通用 公共 许可 协议 GPL 的 自由 软件 。 这 种 软件 具有 两 个 特点 ， 一 是 

开放 源 代 码 并 免费 提供 ， 二 是 开发 者 可 以 根据 自己 的 需要 自由 修改 、 复 制 和 发 布 程序 的 源 
码 。 因 此 ， 用 户 可 以 从 互联 网 上 很 方便 地 免费 下 载 并 使 用 Linux 操作 系统 ， 不 需要 担心 成 
为 盗版 用 户 。 
由 于 Linux 的 源码 也 是 同时 提供 的 ， 所 以 只 要 用 户 具 备 一 定 的 水 平 ， 就 可 以 自己 解决 
Linux 运行 时 所 出 现 的 故障 。 同 时 ， 用 户 也 可 以 对 源码 进行 修改 ， 成 为 自己 个 性 化 的 操作 
系统 。 另 外 ，Linux 系统 上 运行 的 绝 大 多 数 应 用 程序 也 是 可 以 免费 得 到 的 ， 这 也 是 吸引 用 
户 使 用 Linux 的 一 个 重要 原因 。 


2. 良好 的 硬件 平台 可 移植 性 


硬件 平台 可 移植 性 是 指 将 操作 系统 从 一 个 硬件 平台 转移 到 另 一 个 硬件 平台 时 ， 只 需 改 
变 底 层 的 少量 代码 ， 无需 改变 自身 的 运行 方式 。Linux 最 早 诞生 于 PC 机 环境 ,一 系列 版 本 
都 充分 利用 了 x86 CPU 的 任务 切换 能 力 , 使 x86 CPU 的 效能 发 挥 得 淋漓 尽 致 。 另外 , Linux 
还 几乎 能 在 所 有 主流 CPU 搭建 的 体系 结构 上 运行 ， 包 括 Intel/AMD、HP-PA、MIPS、 
PowerPC、UltraSPARC 和 ALPHA 等 ， 其 伸缩 性 超过 了 所 有 其 他 类 型 的 操作 系统 。 


3. 完全 符合 POSIX 标准 


POSIX 也 称 为 可 移植 的 UNIX 操作 系统 接口 ,是 由 ANSI 和 ISO 制订 的 一 种 国际 标准 。 
它 在 源 代码 级 别 上 定义 了 一 组 最 小 的 UNIX 操作 系统 接口 。Linux 遵循 这 一 标准 使 得 它 和 
其 他 类 型 的 UNIX 之 间 可 以 很 方便 地 相互 移植 自己 平台 上 的 应 用 软件 。 
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4. 具有 良好 的 图 形 用 户 界面 


Linux 具有 类 似 于 Windows 操作 系统 的 图 形 界面 ,其 名 称 是 X-Window 系统 .X-Window 
是 一 种 起 源 于 UNIX 操作 系统 的 标准 图 形 界面 ， 它 可 以 为 用 户 提供 一 种 具有 多 种 窗口 管理 
功能 的 对 象 集成 环境 。 经 过 多 年 的 发 展 ，Linux 平台 上 的 X-Window 已 经 非常 成 熟 ， 其 对 
和 户 的 友好 性 不 逊 于 Microsoft Windows。 


5. 具有 强大 的 网 络 功能 


由 于 Linux 是 依靠 互联 网 平台 迅速 发 展 起 来 的 ，Linux 具有 强大 的 网 络 功能 也 就 是 自 
然而 然 的 事情 了 。 它 在 内 核 中 实现 了 TCP/P 协议 栈 , 提供 了 对 TCP/IP 协议 簇 的 支持 。 同 时， 
它 还 可 以 支持 其 他 各 种 类 型 的 通信 协议 ， 如 IPX/SPX、Apple Talk、PPP、SLIP 和 ATM 等 。 


6. 丰富 的 应 用 程序 和 开发 工具 


由 于 Linux 系统 具有 良好 的 可 移植 性 ， 目 前 绝 大 部 分 其 他 UNIX 系统 下 使 用 的 流行 软 
件 都 已 经 被 移植 到 Linux 系统 中 。 另 外 ， 由 于 Linux 得 到 了 IBM、Intel、Oracle 及 Syabse 
等 知名 公司 的 支持 ， 这 些 公 司 的 知名 软件 也 都 移植 到 了 Linux 系统 中 ， 因 此 ，Linux 获得 
了 越 来 越 多 的 应 用 程序 和 应 用 开发 工具 。 


7. 良好 的 安全 性 和 稳定 性 


Linux 系统 采取 了 多 种 安全 措施 ， 如 任务 保护 机 制 、 审 计 跟 踪 、 核 心 授权 、 访 问 授权 
等 ， 为 网 络 多 用 户 环境 中 的 用 户 提供 了 强大 的 安全 保障 。 由 于 Linux 的 开放 性 及 其 他 一 些 
原因 ， 使 其 对 计算 机 病毒 具有 良好 的 防御 机 制 ，Linux 平台 基本 上 不 需要 安装 防 病毒 软件 。 
另外 ，Linux 具有 极 强 的 稳定 性 ， 可 以 长 时 间 稳 定 地 运行 。 


2.3.3 Linux 的 发 行 版 本 


Linux 采用 UNIX 操作 系统 版 本 制定 的 惯例 ， 将 版 本 分 为 内 核 版 本 和 发 行 版 本 两 种 。 
内 核 版 本 的 格式 通常 为 “ 主 版 本 号 .次 版 本 号 .修正 号 ?”。 其 中 ， 主 版 本 号 和 次 版 本 号 表示 功 
能 有 重大 变动 ， 修 正 号 表示 较 小 的 变动 。 另 外 ， 次 版 本 号 如 果 是 偶数 ， 表 示 是 产品 化 的 版 
本 ， 和 运行 相对 稳定 ， 如果 是 奇数 ， 则 说 明 是 实验 版 本 ， 是 一 个 内 部 可 能 存在 BUG 的 测试 
版 本 。 

由 于 Linux 的 内 核 源 代码 和 大 量 的 Linux 应 用 程序 都 可 以 自由 获得 ， 为 了 方便 用 户 的 
使 用 ， 很 多 公司 或 组 织 便 把 Linux 内 核 和 很 多 应 用 程序 捆绑 在 一 起 ， 并 加 上 自己 开发 的 一 
些 内 容 ， 一 起 提供 给 用 户 ， 使 用 户 可 以 通过 简单 地 安装 就 能 完整 地 使 用 Linux 及 常用 的 应 
程序 。 这 样 的 一 套 软件 就 称 为 Linux 的 发 行 版 ， 每 一 个 发 行 版 都 有 自己 的 特色 。 目 前 ， 
全 世界 较为 知名 的 发 行 版 有 100 多 种 ， 其 中 最 为 有 名 的 发 行 版 包括 Red Hat、Slackware、 
Debian、SUSE、TurboLinux， 以 及 来 自 国 内 的 红旗 Linux 等 。 下 面 简要 介绍 其 中 的 儿 个 代表 。 


1. Red Hat Linux 


Red Hat Linux 是 目前 最 为 流行 的 Linux 发 行 版 本 ， 其 主要 特点 是 安装 非常 简单 ， 用 户 
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无 须 做 复杂 的 设置 工作 ， 并 且 提 供 了 对 常见 外 围 硬 件 的 支持 。Red Hat Linux 的 用 户 界 面 也 
非常 友好 ， 其 图 形 化 的 操作 环境 可 以 说 与 Microsoft Windows 不 相 上 下 。 

Red Hat 公司 成 立 于 1995 年 ， 是 最 早 发 布 Linux 发 行 版 的 公司 之 一 ， 其 运作 形式 和 产 
品 因为 适应 市 场 的 需求 ， 很 快 被 用 户 接受 ， 并 且 越 来 越 流行 。 目 前 ，Red Hat 公司 领导 着 
Linux 的 开发 、 部 署 和 经 营 ， 是 用 开源 软件 作为 Internet 基础 服务 解决 方案 的 领头 羊 ， 从 媒 
入 式 设备 到 安全 网 页 服务 器 ， 各 种 级 别 的 项 目 都 有 涉及 。 

目前 的 Red Hat 发 行 版 分 为 两 个 系列 , 传统 的 免费 版 本 到 了 Red Hat Linux 9.0 后 , Red 
Hat 公司 已 经 停止 了 对 它 的 技术 支持 。 目 前 使 用 的 免费 版 本 称 为 Red Hat Fedora Core 版 本 ， 
由 Fedora 社区 开发 并 提供 免费 的 技术 支持 ， 最 新 版 为 Red Hat Fedora 16。Red Hat Fedora 
Core 版 本 定位 于 桌面 用 户 ， 适 用 于 非 关键 性 的 桌面 计算 环境 。 

还 有 一 个 版 本 是 Red Hat Enterprise Linux 版 本 ， 也 称 为 RHEL 或 Red Hat 企业 版 。 它 
是 2002 年 Red Hat 公司 为 了 进一步 适应 市 场 而 开发 的 , 提供 的 是 收费 的 技术 支持 和 更 新 服 
务 ， 目 前 最 新 版 本 是 Red Hat Enterprise Linux 6。 


2. Slackware Linux 


Slackware Linux 是 Slackware 公司 发 布 的 Linux 发 行 版 , 它 的 特点 是 想 力图 成 为 “UNIX 
风格 ”的 Linux 发 行 版 本 ， 其 原则 是 只 采用 稳定 版 本 的 Linux 应 用 程序 ， 而 不 进行 任何 修 
改 ， 即 所 谓 的 KISS (Keep It Simple and Stupid) 原则 。Slackware Linux 为 了 追求 效率 ， 一 
般 使 用 配置 文件 对 系统 进行 配置 , 而 不 是 像 其 他 发 行 版 那样 使 用 各 种 配置 工具 , 这 对 Linux 
新 手 来 说 是 比较 困难 的 。 


全 说 明 : 一 般 情况 下 ，Slackware Linux 比较 适合 于 有 经 验 的 使 用 者 ， 可 以 提供 更 多 的 透明 
性 和 灵活 性 。 


Slackware 的 第 一 个 版 本 1.00 由 创立 者 和 开发 领导 者 Patrick Volkerding 在 1993 年 7 月 
发 布 , 是 历史 最 为 悠久 的 Linux 发 行 版 , 曾经 非常 流行 。 后 来 的 一 些 Linux 发 行 版 , 如 SUSE、 
College Linux、SLAX 等 ， 就 起 源 于 Slackware， 是 在 Slackware 基础 上 制作 发 行 的 。 


3. Debian Linux 


Debian 是 Linux 发 行 版 当中 最 自由 的 一 种 ， 是 一 个 纯粹 由 自由 软件 组 合 而 成 的 操作 系 
统 。Debian 由 位 于 世界 各 地 上 千 名 的 志愿 者 不 断 地 进行 开发 和 维护 ， 不 属于 任何 的 商业 公 
司 ， 完 全 由 开源 社区 所 有 。Debian 坚守 Unix 和 自由 软件 的 精神 ， 并 给 用 户 提供 了 众多 的 
选择 。 目 前 ，Debian 包括 了 超过 18000 个 软件 包 并 支持 11 个 计算 机 系统 结构 。 

Debian 于 1993 年 8 月 16 日 由 一 名 美国 普 渡 大 学 学 生 Ian Murdock 首次 发 表 , 并 在 1994 
年 发 布 了 0.9x 版 本 ，1996 年 发 布 了 1.x 版 本 。 在 2000 年 下 半年 ，Debian 对 发 布 的 管理 作 
出 了 重大 的 改变 ， 它 重组 了 收集 软件 的 过 程 ， 并 创造 了 “测试 ”(testing) 版 本 作为 较 稳 定 
的 下 一 个 发 行 版 的 演示 。 


4. 红旗 Linux 


红旗 Linux 是 由 北京 中 科 红旗 软件 技术 有 限 公司 开 发 的 一 系列 Linux 发 行 版 ， 包 括 桌 
面 版 、 工 作 站 版 、 数 据 中 心服 务 器 版 、HA 集群 版 和 红旗 嵌入 式 Linux 等 产品 。 红 旗 Linux 
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是 中 国 较 大 、 较 成 熟 的 Linux 发 行 版 之 一 ， 其 特点 是 提供 了 对 中 文 的 良好 支持 ， 界 面 和 操 

作 设 计 也 更 符合 中 国人 的 习惯 ， 可 以 从 官方 网 站 免费 下 载 使 用 。 

红旗 Linux 的 第 一 个 版 本 在 1999 年 8 月 10 日 发 布 ， 最 初 主要 用 于 关系 国家 安全 的 重 

要 政府 部 门 。2000 年 6 月 ， 中 国 科学 院 软件 研究 所 和 上 海 联 创 投资 管理 有 限 公 司 共同 组 建 

了 北京 中 科 红 旗 软 件 技术 有 限 公司 ,到 2004 年 度 正式 实现 春 利 , 成 为 世界 三 大 Linux 厂商 

= 

全 说 明 : 虽然 各 种 Linux 发 行 版 的 内 核 都 是 一 样 的 ， 但 其 捆绑 的 应 用 软件 和 开发 工具 差异 
却 很 大 ， 而 且 它们 的 安装 、 配 置 和 使 用 也 有 相当 大 的 差别 。 当 用 户 选 择 时 ， 可 以 
从 是 否 完全 免费 、 软 件 包 管理 方式 、 硬 件 驱动 支持 、 安 全 特性 、 习 惯 使 用 的 桌面 
环境 等 方面 考虑 。 


2.3.4 Red Hat Enterprise Linux 介绍 


自 2002 年 以 来 , Red Hat 公司 发 布 了 新 的 面向 企业 用 户 的 开放 源 代码 方案 一 Red Hat 
Enterprise Linux。 它 是 功能 最 全 面 、 完 全 符合 工业 标准 的 Linux 操作 系统 ， 专 为 企业 的 关 
键 应 用 而 设计 。Red Hat Enterprise Linux 产品 包含 了 企业 关键 应 用 所 必须 具备 的 高 端 性 能 ， 
提供 了 更 好 的 性 能 和 可 靠 性 ， 由 Red Hat 提供 收费 的 技术 支持 与 更 新 服务 。 


全 说 明 : 普通 的 Linux 操作 系统 一 般 适 合 于 低 端的 服务 器 市 场 ， 因 为 更 关注 采用 最 新 的 技 
术 ， 使 稳定 性 受到 影响 


自发 布 以 来 ，Red Hat Enterprise Linux 迅速 被 用 户 接纳 ， 得 到 了 众多 软件 开发 商 和 设 
备 制 造 商 的 广泛 支持 ， 包 括 IBM、Dell、HP、Borland、SUN 和 Novell 等 。RHEL 被 运行 
在 众多 的 硬件 平台 上 , 它 提 供 了 卓越 的 性 能 , 在 一 系列 的 公开 测试 中 都 取得 了 良好 的 成 绩 。 
RHEL 以 低 得 多 的 成 本 提供 了 传统 UNIX 的 性 能 ， 为 企业 的 关键 应 用 提供 服务 。 为 了 适应 
各 种 级 别 的 要 求 ，RHEL 提供 了 从 台式 机 到 大 型 数据 中 心 的 系列 产品 ， 主 要 有 以 下 3 种 。 

Red Hat Enterprise Linux AS (Advanced Server) 是 企业 Linux 解决 方案 中 最 高 端的 产 
品 ， 它 专 为 企业 的 关键 应 用 和 数据 中 心 而 设计 ， 提 供 了 最 全 面 的 支持 服务 。RHEL AS 支持 
各 种 平台 的 服务 器 ， 而 且 是 唯一 支持 IBMi 系列 、p 系列 、z 系列 和 S-390 系统 的 产品 。 在 
Intel x86 平台 上 ， RHELAS 可 以 支持 2 个 以 上 CPU 和 大 于 8GB 的 内 存 。 

Red Hat Enterprise Linux ES (Entry Server) 为 Intel x86 市 场 提供 了 一 个 从 企业 门户 到 
企业 中 层 应 用 的 服务 器 操作 系统 。 它 提供 了 与 RHEL AS 同样 的 性 能 ， 区 别 仅 在 于 它 支 持 
更 小 的 系统 和 更 低 的 成 本 。 典 型 的 Red Hat 企业 Linux ES 应 用 环境 如 下 : 

口 公司 的 Web 架构 ; 

口 网 络 边缘 应 用 (DHCP、DNS、 防 火 墙 等 ); 

口 邮件 和 文件 /打印 服务 ; 

口 中 小 规模 数据 库 和 部 门 应 用 软件 。 

Red Hat Enterprise Linux WS( Workstation ) 是 RHEL AS 和 ES Wen 端 合 作 伙伴 ， 
它 支 持 1-2CPU 的 Intel x86 和 AMD 系统 ， 是 桌面 应 用 的 最 佳 环境 。 含 各 种 常用 的 桌 
面 应 用 软件 (Office 工具 、 邮 件 、 即 时 信息 、 浏 览 器 等 )， ee 
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上 共和 应 用 软件 。RHEL WS 和 服务 器 产品 由 同样 的 源 代码 编译 而 成 ， 但 它 不 提供 网 络 服务 
功能 ， 因 此 只 适合 作为 客户 端 应 用 。 


2.4 小 结 


网 络 服务 需要 一 个 非常 强健 的 运行 环境 ， 包 括 网 络 环境 、 服 务 器 硬件 和 操作 系统 环境 
等 。 本 章 首先 讲述 了 网 络 规划 的 一 些 知识 ， 包 括 需求 分 析 、 目 标 和 设计 原则 ， 以 及 软 硬 件 
平台 建设 等 。 然 后 介绍 了 有 关 服 务 器 硬件 的 规划 ， 包 括 CPU、 内 存 、 磁 盘 和 网 卡 等 的 性 能 
指标 和 选择 方法 。 最 后 又 介绍 了 Linux 操作 系统 的 有 关 情 况 ， 包 括 起 源 、 特 点 、 发 行 版 及 
本 书 使 用 的 RHEL。 


第 3 章 Linux 系统 的 安装 、 管 理 与 优化 


为 了 在 Linux 系统 上 架设 网 络 服务 器 ， 首 先 需要 安装 Linux 操作 系统 。 另 外 ， 为 了 使 
Linux 系统 符合 用 户 的 特定 需要 ， 安 装 完成 后 ， 经 常 还 需要 对 其 进行 管理 和 优化 。 本 章 将 
以 Red Hat Enterprise Linux 6〈 简 称 RHEL 6) 为 例 ， 介 绍 Linux 系统 的 安装 、 管 理 和 优化 
方法 。 


3.1 Red Hat Enterprise Linux 6 的 安装 


RHEL 6 操作 系统 的 安装 非常 简单 ， 采 用 了 图 形 界面 的 形式 ， 给 用 户 非常 丰富 的 提示 
和 非常 方便 的 选择 。 一 般 情 况 下 ， 安 装 都 将 会 很 顺利 。 当 然 ， 安 装 以 前 ， 需 要 检查 计算 机 
人 硬件， 要 确保 符合 RHEL 6 系统 的 要 求 才能 安装 。 下 面 介 绍 RHEL 6 的 具体 安装 过 程 ， 以 
及 安装 后 的 设置 工作 。 


3.1.1 准备 安装 RHEL 6 


用 户 可 以 购买 RHEL 6 的 安装 光盘 ， 这 一 张 DVD 光盘 包含 了 安装 程序 、 各 种 软件 包 、 
源 代码 和 说 明文 档 等 安装 所 需 的 所 有 内 容 。 此 外 ， 也 可 以 从 Red Hat 的 官方 网 站 
(http://www.redhat.com) 直接 下 载 RHEL 6 的 ISO 光盘 映像 文件 ， 然 后 刻录 到 光盘 上 进行 
安装 ， 或 者 直接 使 用 ISO 映像 文件 进行 安装 。RHEL 6 遵循 GPL 协议 ， 使 用 是 免费 的 ， 但 
如 果 用 户 想 得 到 技术 支持 或 更 新 服务 ， 需 要 购买 Red Hat 公司 的 服务 产品 ， 并 及 时 进行 
注册 。 

RHEL 6 对 硬件 配置 的 要 求 相 对 较 低 ， 就 For x86 的 RHEL 6 而 言 ， 目 前 在 用 的 大 部 分 
PC 机 都 能 安装 ， 只 要 这 台 PC 机 能 顺利 地 安装 和 使 用 Windows XP 系统 即 可 。 但 是 , RHEL 
6 对 硬件 的 兼容 性 却 无 法 和 Windows 系统 相 比 。 因 此 ， 在 安装 前 要 确定 计算 机 的 硬件 是 否 
是 兼容 的 ， 特 别 是 网 卡 等 作为 服务 器 必须 要 使 用 的 硬件 ， 以 及 一 些 市 场 上 不 常见 的 设备 。 


全 说 明 : 用 户 可 以 到 http://hareware.redhat.com 查找 RHEL 6 支持 的 硬件 列表 ， 以 判断 自己 
的 硬件 是 否 被 RHEL6 支持 。 


RHEL 6 支持 目前 几乎 所 有 的 系统 架构 ， 包 括 x86、AMD64、Itanium、IBM Power 等 。 
对 于 普通 的 PC 机 ， 建 议 最 小 的 内 存 为 1GB。 当 采用 完全 安装 方式 时 ， 所 需 的 硬盘 容量 约 
为 SGB。 另 外 ，RHEL 6 可 以 与 Windows 等 其 他 操作 系统 安装 在 同一 个 硬盘 ， 并 支持 多 重 
引导 。 

RHEL 6 支持 本 地 光盘 安装 、 本 地 硬盘 安装 、 远 程 NFS 安装 、 远 程 FTP 安装 和 远程 
HTTP 安装 5 种 安装 方式 ， 但 需要 以 RHEL 6 提供 的 引导 文件 引导 成 功 后 才能 选择 以 哪 种 
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方式 安装 。 其 中 ， 本 地 光盘 安装 方式 最 为 方便 ，3.1.2 节 介绍 的 就 是 这 种 安装 方式 。 
3.1.2 ”开始 安装 RHEL 6 


RHEL 6 的 安装 光盘 有 一 张 ， 当 安装 时 ， 需 要 从 光盘 引导 ， 因 此 ， 要 在 计算 机 的 BIOS 
设置 中 将 光驱 设置 为 第 一 次 序 的 引导 盘 ， 再 按 以 下 步骤 进行 安装 。 

(1) 把 RHEL 6 的 安装 光盘 放 入 光驱 ， 再 重新 启动 计算 机 。 如 果 光 盘 启 动 成 功 ， 将 会 
出 现 如 图 3-1 所 示 的 安装 引导 界面 。 

(2) 在 图 3-1 中 ， 如 果 想 在 图 形 界面 下 安装 或 升级 RHEL 6， 可 以 直接 按 Enter 键 。 


名 说明: 如 果 希 望 在 文本 模式 下 进行 安装 或 升级 ， 在 安装 引导 界面 选择 第 二 项 再 按 Enter 
键 。 一般 情况 下 ， 应 该 按 Enter 键 以 默认 方式 安装 。 


(3) RHEL 6 将 对 硬件 进行 一 系列 的 检测 ， 完 成 后 将 出 现 如 图 3-2 所 示 的 对 话 框 ,询问 
是 否 要 求 对 光盘 进行 测试 。 如 果 觉 得 光盘 没有 问题 ， 可 以 按 Tab 键 把 光 条 移 到 Skip 选项 ， 
再 按 空 格 键 或 Enter 键 进行 选择 ， 表 示 要 跳 过 检测 。 

全 说 明 : 为 了 保证 后 续 的 安装 能 顺利 进行 ，RHEL 6 提供 了 光盘 检测 功能 ， 以 免 因 介 质 的 
问题 而 影响 安装 。 但 由 于 这 项 检测 需要 花 比 较 长 的 时 间 ， 在 保证 光盘 介质 没有 问 
题 的 情况 下 ， 可 以 不 进行 测试 。 


To begin testing ER before 
installation press 0 


Choose Skip to skip the media test 
and start the installation. 


RED HAT” 
ENTERPRISE LINUX` 6 


加 到 


图 3-1 安装 引导 界面 图 3-2 光盘 检测 对 话 框 


(4) RHEL 6 安装 程序 将 对 显示 卡 进行 检测 ， 完 成 后 将 进入 真正 的 图 形 模式 继续 安装 
进入 图 形 界面 后 , 首先 出 现 一 个 欢迎 界面 , 单 击 Next 按钮 后 , 将 出 现 如 图 3-3 所 示 的 界面 ， 
要 求 进行 语言 选择 。 

(5) RHEL 6 提供 了 50 多 种 语言 的 支持 ， 可 以 选择 “简体 中 文 ” 选 项 后 单 击 “ 下 一 步 ” 
按钮 ， 将 出 现 如 图 3-4 所 示 的 安装 界面 

(6) 在 图 3-4 中 ， 要 求 进 行 键盘 类 型 选择 。 和 全 且 站 各 用 户 的 键盘 ， 并 给 出 了 默 
认 的 选择 。 此 时 ， 保 持 默认 选择 不 变 ， 单 击 “ 下 一 步 ” 按 钮 ， 将 出 现 如 图 3-5 所 示 的 “您 
的 安装 将 使 用 哪 种 设备 ? ”界面 。 


全 说 明 : 由 于 上 一 步骤 选择 了 “简体 中 文 ” 语言 ， 此 时 所 有 的 提示 都 已 经 变 为 了 简体 中 文 。 
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[i 剑 在 安 半 过 程 中 想 使 用 何 种 语言 了 


g ‘mal) (Norwegiant 
| 征文 (六 二 辆 文 ( 痪 床 ) 

中 文 (繁体 ) (中 文 【正体 ) ) 
丹麦 文 (Dansk) 

乌克兰 文 (YKpaiHcbka) 
伊 洛 干 诺 文 (lloko) 

俄 文 (Pycckwn) 

保加利亚 文 (6bnrapckn) 
僧人 徊 罗 文 
克罗地亚 文 (Hrvatski) 
冰岛 文 (Icelandic) 

加 泰 罗 尼 亚 文 (Catala) 

饲 革 利文 (Magyar 

北 率 托 文 (Northern Sotho) 
南非 荷兰 文 (Afrikaans) 


Bokmal)) 


和 返回 (B) 


图 3-3 语言 选择 界面 
| | 


2 的 R 渤 择 适 4 的 网站 


瑞 殿 语 式 
瑞士 德 滞 式 
瑞士 德 滞 式 (latin1) 
丧 士 法 语 式 
瑞士 法 语 式 (latinl) 
罗马 尼 亚 滞 式 


荷兰 语 式 

葡 面 疏 语 式 
西班牙 语 式 
网 拉 介 这 区 (标准 ) 


和 &o (6) 


图 3-4 键盘 类 型 选择 界面 


区 的 安装 得 使 用 哪 种 设备 了 


基本 存储 设 音 
安装 或 者 升级 到 存 铺设 备 的 典型 类 型 。 如 果 合 不 确定 哪个 选项 适合 : 


“指定 的 存储 设 备 
安装 或 者 升级 到 企业 贷 设 备 ， 比 如 存 笠 局 地 网 (SAN) 。 这 个 迁 项 可 让 人 沽 加 FCoE / iSCSI / zFCP 蔽 盘 并 过 荡 桩 安装 程序 
应 试 息 咯 的 设备 。 


和 各 (8) 


图 3-5 您 的 安装 将 使 用 哪 种 设备 
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(7) 在 该 界面 选择 “基本 的 存储 设备 ”选项 ， 然 后 单 击 “ 下 一 步 ” 按 钮 ， 将 出 现 一 
“存储 设备 警告 ”界面 ， 如 图 3-6 所 示 。 


存储 设 苗 警 告 


种 以 下 设备 中 可 能 包含 数据 。 


ATA VMware Virtual 1 
”8192.0 MB pci-0000:00:07.1-scsi-0:0:0:0 


没有 在 这 个 设 兰 中 探测 到 分 区 或 文件 系统 。 


这 可 能 是 因为 该 设备 为 空白。 未 分 区 或 谍报。 如 果 不 是 ， 那 么 它 可 能 有 一 些 数 据 是 念 合 
用 它 进行 安装 后 无 法 局 复 的 。 可 从 这 个 安装 中 删除 该 设 音 以 保护 那些 数据 。 


您 确定 这 个 设 音 中 不 包含 有 价值 的 数据 吗 7 


冉 在 所 有 包 合 未 探测 分 区 或 文件 系统 的 设 昔 中 应 用 我 的 选择 (A) 


否 ,保留 所 有 数据 (N) 
图 3-6 存储 设备 警告 界面 


(8) 在 该 界面 选择 “是 ， 忽 略 所 有 数据 ”选项 ， 硬 盘 上 的 所 有 数据 将 会 删除 。 然 后 单 
击 “ 下 一 步 ” 按钮 将 出 现 如 图 3-7 所 示 的 给 主机 命名 的 界面 。 


时 请 加 各 计算 机 二 名 。 该 主机 名 会 在 网 各 中 定义 这 癌 计算 机 


图 3-7 主机 命名 界面 


(9) 在 该 界面 可 以 给 主机 设置 自己 喜欢 的 名 字 。 这 里 笔者 用 的 是 默认 的 主机 名 ， 单 击 
“下 一 步 ” 按 钮 ， 将 出 现 如 图 3-8 所 示 的 城市 选择 界面 。 


请 选择 宵 本 地 时 区 最 近 的 城市 


加 对 5 时 钟 使 用 UTC 时 间 (S) 
人 到 回 (B) 
图 3-8 城市 选择 界面 


(10) 在 该 界面 选择 与 用 户 所 在 地 区 距离 最 近 的 城市 ， 然 后 单 击 “ 下 一 步 ” 按 钮 ， 将 
出 现 如 图 3-9 所 示 的 为 用 户 设置 密码 的 界面 。 


外 说 明 : 根 用 户 的 密码 必须 要 设 定 ， 而 且 要 6 个 字符 以 上 ， 以 保证 安全 。 
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(11) 在 该 界面 给 用 户 设置 一 个 密码 (这 里 密码 要 求 尽量 复杂 )， 然 后 单 击 “ 下 一 步 ” 
按钮 ， 将 出 现 一 个 如 图 3-10 所 示 的 “脆弱 密码 ”对 话 框 。 


司 要 帐号 被 用 来 管理 系统 。 请 为 根 用 户 答 入 一 个 密码 。 


amb:Ea 一 下 
硝 认 (©) :| ] © 您 的 密码 不 够 安全 : 它 基于 字典 单词 


[eaa@ | [中 To | ] [ (CO) | 无论 和 0 都 使 用 (U) | 
图 3-9 设置 密码 界面 图 3-10 ”脆弱 密码 对 话 框 
(12) 在 该 界面 选择 “无 论 如 何 都 使 用 ”选项 ， 然 后 单 击 “ 下 一 步 ”按钮 ， 将 出 现 如 


图 3-11 所 示 的 “您 要 进行 哪 种 类 型 的 安装 ”界面 。 


人 要 进行 咯 种 夫 型 的 安 续 了 
”使 用 所 有 空间 
0 ,ane em 
轨 示 这 个 汉 项 肌 了 所 渤 设 备 中 的 所 有 耻 尖 ， 次 定 人 进行 了 和 从 
昔 投 现 有 Linux 系统 
内 Unux 分 区 (由 之 前 的 Linux 灾区 时 的 ) 。 过 样 中 不 全 贡 上 人 请 设备 中 的 内 它 力 区 (1 如 VIAT 项 者 
FAT32) » 


提示 : 这 个 汉 项 9 遇险 全 折光 设备 中 的 所 有 数据 。 确 定 信 进 行 了 备份 。 


[La] 
编 小 现 有 采 统 

[| 
Bs] 


使 用 刊 余 空间 
保留 人 的 调 有 数 尖 和 分 区 且 内 合用 所 运 设 备 中 的 下 分 区 空间 ， 钼 设 们 有 中 名 的 空间 可 用 - 


使 用 分 区 工具 手动 在 所 设备 中 创建 自 定 义 布 局 


| 到 (B) 
图 3-11 您 要 进行 哪 种 类 型 的 安装 界面 

全 说 明 : 在 该 界面 有 5 个 可 用 的 分 区 方式 ， 分 别 是 “使 用 所 有 空间 ”、 “替换 现 有 Linux 
系统 ”、“ 缩 小 现 有 系统 ”、“ 使 用 剩余 空间 ”和 “创建 自 定义 布局 ”。 默 认 的 

分 区 方式 是 “替换 现 有 Linux 系统 ”， 此 时 会 删除 硬盘 上 所 有 的 数据 。 
(13) 在 该 界面 选择 “创建 自 定义 布局 ”选项 ， 然 后 单 击 “ 下 一 步 ” 按 钮 ， 将 出 现 如 
图 3-12 所 示 的 “请 选择 源 驱动 器 ”界面 。 如 果 想 把 整个 硬盘 都 分 给 RHEL 6 使 用 ， 可 以 使 

用 默认 分 区 方式 ， 单 击 “ 下 一 步 ” 按 钮 。 


请 选择 源 驱 动 器 can 


二 J 持 吉 点/ | mn mo aaa 
ded (NB) RAID/ 卷 总 me 
一 硬 训 动 加 
i a aa 
sdal 5000 / ext4 Vv 
sda2 512 swap V iT 
EE 


EE 


湖 | 
图 3-12 请 选择 源 驱 动 器 界面 
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外 说 明 : 图 3-12 所 示 的 是 设置 硬盘 分 区 界面 ， 如 果 只 有 一 个 硬盘 ，RHEL 6 会 自动 选择 该 
硬盘 ， 并 要 求 用 户 确 定 分 区 方式 .如果 计算 机 中 的 硬盘 中 包含 数据 ， 则 在 出 现 如 
图 3-12 所 示 的 界面 前 ,会 先 出 现 一 个 警告 信息 文本 框 ， 提 示 硬 盘 中 的 所 有 数据 
将 被 删除 。 另 外 ， 如 果 RHEL 6 安装 程序 不 能 检测 到 任何 硬盘 ， 设 置 分 区 界面 将 
无 法 工作 ， 用 户 需 要 检查 计算 机 中 的 硬盘 是 否 有 问题 。 


(14) 在 该 界面 单 击 “ 创 建 ” 按 钮 ， 弹 出 “生成 存储 ”对 话 框 ， 在 该 对 话 框 中 用 户 可 
以 根据 需要 对 硬盘 中 的 分 区 进行 手动 管理 ,可 以 创建 分 区 或 者 创建 软件 RAID 和 生成 LVM。 
仍然 单 击 “ 创 建 ” 按 钮 ， 弹 出 分 区 表 。 在 这 里 分 别 创建 “/” 和 swap 分 区 ， 创 建 完 成 后 单 
击 “ 确 定 ” 按 钮 ， 结 果 如 图 3-12 所 示 。 然 后 单 击 “ 下 一 步 ” 按 钮 将 出 现 如 图 3-13 所 示 的 
格式 化 警告 。 

(15) 在 该 界面 单 击 “ 格 式 化 ”按钮 ， 弹 出 “将 存储 配置 写 入 磁盘 ”对 话 框 ， 如 图 3-14 
所 示 。 


已 选择 要 格式 化 以 下 已 存在 的 设 首 ， 破 坏 所 有 数据 。 
Jdevsda partition table (MSDOS) 


将 存储 配置 写 入 磁盘 


全 现在 要 将 您 所 选 分 区 选项 写 入 磁盘 。 所 有 删除 或 重新 格 


式 化 分 区 指定 数据 者 会 于 失 。 
取消 (C) | | 格式 化 (F) | 
图 3-13 格式 化 警告 图 3-14 将 存储 配置 写 入 磁盘 对 话 杠 


(16) 在 该 界面 选择 “将 修改 写 入 磁盘 ”选项 ， 然 后 单 击 “ 下 一 步 ” 按 钮 ， 将 出 现 如 
图 3-15 所 示 的 “引导 装载 程序 操作 系统 列表 ”界面 。 


团 在 /dev/sda 中 安装 引导 装载 程序 (1!) 。 更换 设备 (C) | 


口 使 用 引导 装载 程序 密码 (U) 


引导 装载 程序 操作 条 统 列表 
拓 作 标签 设备 添 I(A) | 
| 删除 (D) | 
名 (B) | | 路 F- 少 (NM) | 


图 3-15 引导 装载 程序 操作 系统 列表 界面 


(17) 在 该 界面 选择 默认 配置 直接 单 击 “ 下 一 步 ” 按 钮 ， 将 出 现 如 图 3-16 所 示 的 软件 
组 选择 界面 。 

(18) 在 该 界面 选择 “现在 自 定义 ”命令 ， 然 后 单 击 “ 下 一 步 ” 按 钮 ， 将 会 出 现 一 个 
服务 器 选择 对 话 框 ， 如 图 3-17 所 示 。 在 该 界面 将 “桌面 ”和 “开发 ”对 应 的 选项 安装 上 ， 
然后 单 击 “ 下 一 步 ” 按 钮 将 出 现 如 图 3-18 所 示 的 “启动 安装 过 程 ”界面 。 
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Red Hat Enterprise Linux 的 撩 认 人 安装 是 基本 服务 器 安装 。 苞 现在 可 以 随意 先 择 不 同 的 软件 纸 。 


PE" 站 


OD 致 据 库 服务 器 
口 万 条 网 服务 器 
O 〇 身价 管理 服务 种 
O 虚拟 化 主机 

O # 夯 

) 软件 开发 工作 站 
) 最 小 


请 选择 名 的 软件 安 半 所 需要 的 存储 库 、 
回 Red Hat Enterprise Unux 

口 弹性 存储 

口 负载 平衡 器 


十 (A) 源 固 外 的 存 哺 库 计 人 改 库 (M) 


或 者 . 


O EX 由 
9 (B) 


图 3-16 软件 组 选择 界面 


Web 服务 回回 java 平台 

数据 序 回避 penl 支持 

系统 管理 何 口 sd 存 负 客户 山 
唐 拟 化 网 口 主 杠 贾 访问 

这 并 羔 容 程序 库 

应 用 旺 序 目 | Om sk 

ET ET] 
a (8) 


图 3-17 服务 器 选择 对 话 框 


RED HAT 
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1 


中 SN) 


图 3-18 启动 


对 


装 过 程 界面 
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全 说 明 : 如 果 主 机 安装 好 RHEL 6 后 ， 主 要 是 作为 服务 器 使 用 的 ， 那 么 “网 络 服务 器 ” 软 
件 包 组 必须 要 选择 。 另 外 ， 如 果 以 后 经 常 要 以 源 代码 方式 安装 服务 器 软件 ，“ 软 
件 开 发 ”软件 包 组 也 必须 要 选择 ， 否 则 ， 将 可 能 无 法 对 源 代码 进行 编译 。 


(19) 安装 完成 后 表示 系统 安装 结束 ， 将 出 现 如 图 3-19 所 示 的 “安装 完成 ”界面 。 


祝贺 您 ， 您 的 Red Hat Enterprise Linux 安装 已 经 完成 。 
>" 请 重 后 以 便 使 用 安装 的 系统 。 请 注意 : 可 使 用 更 新 以 确定 您 的 系统 正常 工作 ， 且 建议 在 重启 后 安装 这 些 更 新 。 


咀 smasls (1) 
图 3-19 ”安装 完成 
(20) 在 该 界面 单 击 “ 重 新 引导 ”按钮 后 ， 将 重启 计算 机 。 
且说 明 : 安装 过 程 所 需 的 时 间 取决 于 所 选 软件 包容 量 的 大 小 以 及 光盘 的 读 取 速 度 。 


3.1.3 安装 后 的 设置 工作 


安装 结束 并 重启 计算 机 后 ， 系 统 将 进入 安装 后 的 设置 阶段 ， 需 要 对 系统 进行 一 系列 的 
设置 后 才能 正常 工作 ， 具 体 步骤 如 下 。 

(1) 正常 情况 下 ， 引 导 成 功 后 将 出 现 如 图 3-20 所 示 的 欢迎 界面 ， 此 时 单 击 “ 前 进 ” 按 
钮 ， 将 可 以 看 到 RHEL 6 的 许可 协议 ， 如 图 3-21 所 示 。 


欢迎 
在 您 的 系统 就 结 前 还 要 进行 几 个 步 对 设置 代理 将 会 引导 您 进行 一 些 基 本 配置 。 请 点 击 
右 下 加 "前进 " 按 咎 颖 续 。 
日 期 和 时 间 


Kdump 


RED HAT 
ENTERPRISE LINUX 6 


图 3-20 ”欢迎 界面 
(2) 在 该 界面 中 ， 选 择 “ 是 ， 我 同意 该 许可 证 协议 ” 单 选 按钮 ， 然 后 单 击 “ 前 进 ” 按 
钮 ， 将 进入 “设置 软件 更 新 ”界面 ， 如 图 3-22 所 示 。 
(3) 如 果 没 有 购买 Red Hat 服务 支持 ， 可 以 在 该 界面 单 击 “ 前 进 ” 按 钮 ， 将 出 现 如 
图 3-23 所 示 的 “创建 用 户 ” 界 面 ， 要 求 为 RHEL 6 系统 创建 一 个 用 户 名 。 
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PAYMENTS 


This end user license agreement (EULA'] govems rhe 
ns Of Re rt 


1, License Grant Subject ta the followng terms, Red Hat Inc. ("Red 
aperpetual, worldwide Icense to the 


图 3-21 许可 协议 


肝 史 | 设 轩 软件 更 新 


创建 用 户 
日 期 和 时 间 一 】 您 系 统 的 网 络 连接 没有 激活 “现在 您 的 系统 无 法 设置 软件 更 新 " 


Kdump 
如 果 没 和 有 连接 到 红 巾 网 络 服务 器 ， 这 个 系统 将 不 会 成 功 地 从 红 幅 接收 软件 

更 新 ， 其 中 包括 安全 更 新 

要 保 失修 的 系统 更 新 、 安全 关 被 支持 ， 请 尽快 支 疗 信 89 系 统 。 才 可 以 通过 

和 各 用 放 > 系 多 内 世 H+ 的 轩 伯 克 新 和 序 帮工 


您 可 以 在 系 红 > 管理 荣 单 中 运行 RHN 注册 访问 RHN 注册 工具 
您 可 以 在 系 纺 > 管理 荣 单 中 运行 软件 更 新 沪 问 次 件 更 新 。 


我 为 什么 需要 连接 到 RHN? .…,.。 
后 &(B) | | 前进 IE) 


图 3-22 设置 软件 更 新 


和 aa 创建 用 户 


| 您 必须 为 你 的 系统 创建 一 个 常规 使 用 的 【 非 管理 ) ,用户 名 …。 要 创建 系统 用户 苔 '， 请 提 
+ 创建 用 户 供 以 下 所 需 信息 。 

日 期 和 时 间 一 

Kdump 用 记名 (U) : | ) 


全 名 (e) : bob 
密码 (P) : 


确认 密码 (m) : 
如 果 您 需要 使 用 网 络 验 证 ， 上 比如 Kerberos 或 者 NIS ,请 点 击 "使 用 网 络 登 录 "按钮 。 
使 用 网 络 登 录 (L) 


如 果 您 需要 在 创建 该 用 户 时 有 更 多 控制 [指定 主 目录 和 (/ 或 者 ) UID] ， 请 点 击 高 级 按 
钮 。 


图 3-23 创建 一 个 用 户 
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全 注意 ; 如 果 不 创建 用 户 就 单 击 “前进” 按钮, 将 会 出 现 一 个 警告 提示 . 一 般 情况 下 , RHEL 
6 希望 用 户 创建 一 个 常规 使 用 的 用 户 名 ， 只 有 进行 系统 管理 理 时 才 使 用 root 用 户 


(4) 在 “用 户 名 (U): ”后 的 文本 框 内 输入 一 个 用 户 名 ， 例 如 bob， 然 后 设置 密码 ， 再 
单 击 “ 前 进 ” 按 钮 ， 将 出 现 如 图 3-24 所 示 的 “日 期 和 时 间 ” 界 面 。 


日 期 和 时 间 


| 日 期 和 4 间 (了 ) 


当前 日 期 和 时 间 2912 年 99 月 18 日 星期 二 22 时 57 分 95 秒 
了 在 网 络 上 同步 日 期 和 时 间 (y) 


手动 设置 人 系统 的 日 期 和 时 间 
日 期 (D) 时 间 
2012， 《< 思 有 > 时 (H) : [22 所 
分 (M) : [51 加 
| 
2345678 秒 (5) : [55 所 


9 101112131415 
16 17 国 19 20 21 22 
23 24 25 26 27 28 29 
30 


后 RB) | [ 二 HH(E) | 
图 3-24 日 期 和 时 间 设 置 


全 说 明 : 在 图 3-24 中 还 可 以 通过 勾 选 “在 网 络 上 同步 日 期 和 时 间 ” 标 签 ， 选 择 Internet 上 
的 时 间 服 务 器 进行 自动 调整 。 当 然 ， 前 提 是 计算 机 外 wh Internet。 


(5) 在 该 界面 设置 好 日 期 和 时 间 后 单 击 “ 前 进 ” 按钮 ， 将 出 现 如 图 3-25 所 示 的 “确认 
Kdump 默认 设置 ”对 话 框 。 在 该 界面 单 击 “确定 ”按钮 ， 将 出 现 如 图 3-26 所 示 的 Kdump 
界面 。 


x 


Insufficient memory to auto-enable kdump. 
Use system-config-kdump to configure manually 


确定 (Q) 
图 3-25 ”确认 对 话 框 


全 说 明 : Kdump 提供 了 一 种 内 核 崩 演 时 的 强制 写 入 机 制 。 当 出 现 系 统 崩 演 时 ，Kdump 将 
会 自动 记录 当时 的 内 核 状态 。 这 对 于 排查 问题 的 原因 十 分 有 意义 ,但 一 般 的 用 户 
是 不 具备 内 核 分 析 水 平 的 ， 而 且 使 用 Kdump 功能 时 会 占用 一 部 分 的 系统 内 存 ， 
因此 一 般 采 用 系统 的 默认 设置 ， 就 是 不 启用 。 


(6) 在 该 界面 中 ， 单 击 “ 完 成 ”按钮 完成 RHEL 6 的 安装 ， 系 统 将 进入 登录 界面 。 
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欢迎 
许可 证 信息 Kd Um P 
设置 软件 更 新 
创建 用 户 Kdump 是 一 个 内 核 崩 站 转 主机 制 。 在 系统 彤 资 的 时 候 ，kdump 将 捕获 系统 信息 ， 这 
日 期 和 时 间 对 于 论 类 训 汐 原因 非 党 有用。 注意 ，kdumnp 需要 扩 贸 一 部 分 系统 妨 存 ， 且 这 却 分 内 
Haan 存 对 于 其 他 用 户 是 不 可 用 8 


Advanced kdump configuration 
# Configures Where to put the kdump /procvmcore files 
# 


# This file contains a series of commands to perform (in order) when a 旧 
# kernel crash has happened and the kdump kemel has been loaded. Di 

# this file are only applicable to the kdump initramfs, and have no effec| 

# the root filesystem is mounted and the normal init scripts are proces 

# 


# Currently only one dump target and path may be configured at once 

# if the configured dump target fails, the default action will be preform¢ 
# the default action may be configured with the default directive beloy 
# configured dump target succedes 

# 

# Basics commands supported are 

# path <path> ~ Append path to the flesystem device whichy 
打 dumping to. Ignored for raw device dumps 


荐 上 funset, will default to /var/crash 


Em CD 


图 3-26 Kdump 界面 


3.2 Linux 系统 管理 


RHEL 6 安装 完成 后 ， 为 了 使 系统 能 更 好 地 工作 ， 需 要 掌握 一 些 系统 管理 的 方法 和 手 
段 ， 以 便 能 顺利 地 在 RHEL 6 上 架设 各 种 各 样 的 网 络 服务 。 下 面 将 分 别 介绍 在 GNOME 桌面 
环境 和 终端 窗口 命令 方式 下 ， 对 Linux 系统 进行 用 户 管理 、 进 程 管理 和 软件 包 管 理 的 方法 。 
3.2.1 登录 系统 


RHEL 6 系统 安装 完成 后 ， 每 次 开机 时 ， 都 会 出 现 如 图 3-27 所 示 的 登录 界面 ， 要 求 用 

A 号 进行 登录 。 在 前 面 的 系统 安装 过 程 中 ， 已 经 为 名 为 root 的 管理 员 用 户 指 定 了 一 

密码 ， 此 时 可 以 用 root 用 户 名 登录 。 在 该 界面 选择 “其 他 ”选项 ， 弹 出 如 图 3-28 所 示 的 
用 户 登录 界面 ， 输 入 用 户 名 后 单 击 “登录 ”按钮 ， 弹 出 如 图 3-29 所 示 的 输入 密码 界面 。 


Red Hat Enterprise Linux Server release 6.3 (santiago) [3 


Red Hat Enterprise Linux Server release 5.3 (Santiago) 


REra:m | 
[CaO ][ 本 
图 3-27 登录 界面 图 3-28 输入 用 户 名 
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外 说 明 : 在 前 面 的 系统 安装 过 程 中 ， 也 已 经 创建 了 一 个 名 为 bob 的 用 户 账号 ， 此 时 它 也 可 
以 登录 。 


在 如 图 3-29 所 示 的 登录 界面 中 ， 采 用 root 用 户 名 登录 成 功 后 ， 将 出 现 图 3-30 所 示 的 
桌面 环境 。 RHEL 6 默认 安装 时 , 使 用 的 是 GNOME 桌面 系统 。 在 如 图 3-30 所 示 的 桌面 中 ， 
左上 角 是 系统 菜单 栏 ， 包 括 “ 应 用 程序 “位置 ” 和 “系统 ”3 个 主 菜单 ， 大 部 分 的 应 用 
程序 和 管理 功能 都 可 以 通过 菜单 进行 选择 。 开 始 时 ， 桌 面 上 有 “计算 机 ”、“root 的 主 文件 
夹 ” 和 “回收 站 ”3 个 图 标 ， 通 过 它们 可 以 对 文件 系统 进行 管理 。 


全 Res ta 全 过 加 


S 


Red Hat Enterprise Linux Server release 6.3 (Santiago) 


其 他 


wm [eee ] 


取消 (C) 司 录 


图 3-29 输入 密码 图 3-30 GNOME 桌面 


3.2.2 用户 管 理 


Linux 是 一 个 多 用 户 、 多 任务 的 操作 系统 。 多 用 户 是 指 可 以 在 操作 系统 中 为 每 个 用 户 
指定 一 个 独立 的 账号 ， 并 为 账号 指定 一 个 独立 的 工作 环境 ， 以 确保 用 户 个 人 数据 的 安全 。 
而 多 任务 是 指 Linux 可 以 同时 运行 很 多 的 进程 ， 以 便 确 保 多 个 用 户 能 够 同时 登录 并 使 用 系 
统 的 软 便 件 资源 ， 相 互 之 问 不 干扰 。 

在 Linux 操作 系统 中 ， 每 一 个 用 户 账 号 都 有 一 个 唯一 的 标识 符 ， 称 为 用 户 ID 或 UID。 
每 一 个 用 户 还 至 少 属于 一 个 用 户 组 ， 而 用 户 组 可 以 包含 多 个 用 户 ， 每 个 用 户 组 也 有 一 个 唯 

-的 标识 符 ， 称 为 用 户 组 ID 或 GID。 不 同 的 用 户 和 用 户 组 对 系统 有 不 同 的 操作 权限 ， 用 
户 组 的 权限 可 以 由 所 属 的 用 户 使 用 。 用 户 在 系统 中 所 进行 的 的 操作 需要 符合 用 户 的 身份 ， 
即 需要 相应 的 权限 ， 和 否则， 将 出 现 违例 。 


外 说 明 : 一 个 正在 执行 的 程序 其 操作 权限 也 要 与 执行 这 个 程序 的 用 户 相符 。 


Linux 系统 的 用 户 可 以 分 为 两 类 ， 一 类 是 根 用 户 ， 也 称 为 管理 员 用 户 或 超级 用 户 ， 其 
户 名 是 root，UID 是 0。 根 用 户 是 系统 的 所 有 者 ， 对 系统 拥有 最 高 的 权力 ， 可 以 在 系统 
中 进行 任意 的 操作 。 还 有 一 类 是 普通 用 户 ， 除 根 用 户 以 外 的 所 有 其 他 用 户 都 是 普通 用 户 ， 
其 只 能 使 用 根 用 户 所 分 配 的 权限 。 
户 管理 的 基本 内 容 是 添加 新 用 户 、 删 除 用 户 、 修 改 用 户 的 各 种 属性 ， 以 及 对 用 户 的 
访问 权限 进行 设置 。 常 用 的 用 户 管理 方法 可 以 有 使 用 图 形 界面 和 命令 行 两 种 方式 。 其 中 ， 
图 形 界面 方式 比较 直观 ， 适 用 于 初学 者 ;命令 方式 效率 较 高 ， 适 用 于 有 经 验 的 用 户 。 
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1 以 图 形 方式 进行 用 户 管理 
在 RHEL6 中 ， 如 果 要 采用 图 形 界面 对 用 户 进行 管理 ， 可 以 在 桌面 选择 “系统 ”|“ 管 


理 ”|“ 用 户 和 组 群 ”命令 ， 将 出 现 如 图 3-31 所 示 ”四 EE 

的 “用 户 管理 者 ”窗口 ， 列 出 了 系统 中 现 有 的 普通 和 中 本 

j 户 。 图 中 的 bob 用 户 是 在 前 面 安装 RHEL 6 时 创 | am wm Rt a Ri ， 融 

建 的 。 另 外 ， 如 果 单 击 “ 组 群 ”标签 ， 还 可 以 列 出 wo lesen 


用 户 名 。 用户 ID v 主 组 群 ”全 名 。 登录 Shell | 主 目录 
bob 500 bob bob /bin/bash ome/bot 


在 用 户 管理 者 窗口 中 , 所 列 的 用 户 信息 有 用 户 
名 、UID、 所 属 的 用 户 组 、 用 户 全 称 、 登 录 时 使 用 
的 Shell 和 用 户 的 主 目录 位 置 。 另 外 ， 在 工具 栏 上 图 3-31 用 户 管理 者 窗口 
还 有 “添加 用 户 ”“ 添 加 组 群 ””“ 属 性 ”和 “删除 ”等 按钮 ， 分 别 用 于 创建 用 户 、 创 建 用 
户 组 、 修 改 用 户 属性 和 删除 用 户 。 


全 注意 : 实际 上 , 默认 时 在 用 户 管理 窗口 中 列 出 的 只 是 一 部 分 用 户 和 用 户 组 , 如果 选 择 “ 纺 
辑 ”|“ 首 选项” 菜单， 在 出 现 的 对 话 框 中 去 掉 “ 隐 藏 系统 用 户 和 组 ”前 的 勾 ， 则 
会 列 出 系统 中 所 有 的 用 户 和 用 户 组 ， 初 始 时 用 户 有 30 多 个 。 


为 了 创建 新 用 户 ， 可 以 单 击 工具 栏 上 的 “添加 用 户 ” 按 钮 ， 将 出 现 如 图 3-32 所 示 的 对 
话 框 ， 此 时 ， 必 须要 输入 用 户 名 和 两 次 同样 的 密码 。 其 他 可 选 的 项 目 是 输入 用 户 全 称 、 选 
择 登 录 时 使 用 的 Shell、 是 否 创建 主 目录 及 主 目录 的 位 置 、 是 否 同时 创建 同名 的 用 户 组 、 是 
和 否 手工 指定 UID 及 UID 的 具体 值 。 所 有 的 项 目 指定 后 ， 单 击 “ 确 定 ”按钮 回 到 用 户 管理 
窗口 ， 此 时 ， 所 创建 的 用 户 将 在 窗口 中 列 出 来 。 

用 户 组 的 创建 相对 简单 ， 单 击 “ 添 加 组 群 ”按钮 后 ， 将 出 现 如 图 3-33 所 示 的 对 话 框 ， 
要 求 输入 用 户 组 名 称 ， 还 可 以 手工 指定 GID。 


系统 中 现 有 的 用 户 组 。 i 


渗 加 新 用 户 


| 
你 (E) : [| | 
密码 () : [CC | 
询 mm: [ | 
玫 果 shell(): [lbnbash |v 
4 要 主 目录 由 ) 


主 目录 (D) : |/home/ 
为 该 用 户 创建 私人 组 群 (9) 
口 手动 指定 用 户 ID (5) ; 


口 邦 共 站 证 组 群 1D (D) : (Gl | 
口 手动 指定 组 群 ID (0) : 
| ac |] | the(0) | | (CC || HE(O) | 
图 3-32 创建 用 户 图 3-33 ”创建 组 群 


如 果 要 修改 用 户 属性 ， 可 以 在 列表 中 双击 某 一 用 户 ， 或 者 选中 某 用 户 后 单 击 工具 栏 上 
的 “属性 ”按钮 ， 将 出 现 如 图 3-34 所 示 的 对 话 框 ， 可 以 对 列 出 的 有 关 该 用 户 的 基本 项 目 进 
行 修改 。 如 果 选 择 了 “账号 信息 ”标签 ， 此 时 可 以 对 账号 设置 过 期 时 间 、 也 可 以 锁定 账号 。 
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另外 ， 用 户 也 可 以 在 该 属性 对 话 框 中 选择 “密码 信息 ”和 “组 群 ” 标 签 ， 可 以 设置 一 些 有 
关 密 码 的 特性 ， 以 及 为 用 户 选 择 所 属 的 用 户 组 。 


最 后 , 如 果 想 删除 某 一 用 户 , 可 以 在 如 图 3-31 所 示 的 用 户 管理 者 窗口 中 选择 某 一 用 户 ， 
再 单 击 “ 删 除 ” 按 钮 ， 此 时 会 出 现 如 图 3-35 所 示 的 对 话 框 ， 按 照 要 求 确 认 ， 并 可 以 选择 是 


和 否 同时 删除 该 用 户 所 拥有 的 主 目录 和 邮箱 文件 。 

[ 用 户 属性 -Ox 

用 户 数据 (U) | 由 号 信息 (A) | 密码 信息 (p) | 组 妊 (G) 

| Ra bob 

EE): bob 

a el 

| 确认 锣 码 (m) ;| 全、 您 肖 定 想 髓 半 用 户 "bob" 吗 ? 

主 目录 (H) : 。 |/home/bob ?2 

sheld: [mh [> 0 
var/spool/mail/bob') 以 及 临时 文件 。 | 

取消 (C) || 确定 (Q) 否 (N) || 是 
图 3-34 修改 用 户 数据 图 3-35 ”确认 删除 用 户 


夕 注 意 : 以 上 的 操作 都 要 求 以 root 用 户 的 身份 进行 ,因为 只 有 root 用 户 才 有 权力 进行 上 述 
操作 ， 普 通用 户 是 没有 权力 的 。 


2. 以 命令 方式 进行 用 户 管理 


除了 上 面 通过 图 形 界 面 进行 用 户 管理 外 ，Linux 还 提供 了 一 种 命令 行 的 方式 对 用 户 进 
行 管理 。 命令 需要 在 控制 台 或 用 户 终端 上 执行 , 在 GNOME 桌面 环境 中 , 可 以 通过 选择 “应 
用 程序 ”|“ 系 统 工具 ”| “终端 ”命令 ， 出 现 如 图 3-36 所 示 的 终端 窗口 。 

在 终端 窗口 中 ,“#” 是 root 用 户 的 命令 提示 符 。 如 果 登 录 的 用 户 是 普通 用 户 ， 提 示 符 
将 变 为 “8” 所 有 的 命令 都 要 输 在 命令 提示 符 后 再 按 下 Enter 键 才能 执行 。 例 如 ， 如 果 想 
查看 一 下 /usr 目录 的 内 容 ， 可 以 在 “#” 后 面 输入 “ls /usr” 命 令 ， 并 按 下 Enter 键 ， 如 
图 3-37 所 示 。 


root@localhost:~ root@localhost:~ 


文件 (F) 编辑 (E) 查看 (V) 搜索 (5) ”终端 [T) 帮助 (H) 文件 (E) 编辑 (E) 查看 (V) 搜索 (5) ”终端 (TD) 帮助 Ht) 
[root@localhost -~]# 上 c [root@localhost ~]# ls /usr/ 
bin games lib local share 
etc include ibexec sbin sre 
[root@localhost ~]# 国 


图 3-36 ”终端 窗口 图 3-37 在 终端 中 执行 命令 


创建 用 户 的 命令 是 useradd， 其 命令 格式 和 常见 的 选项 如 下 : 


useradd [-c comment] [-d home dir] [-g group] [-G groups] [-M] [-s shell] 
-u uid] <username> 


其 中 ，useranme 是 要 创建 的 用 户 账号 名 ， 是 必须 要 指定 的 ， 其 余 的 都 是 可 选项 ， 含 义 
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分 别 如 下 所 示 。 
口 -ccomment: 为 该 用 户 账号 添加 注释 。 
口 -d home dir: 指定 用 户 的 主 目录 位 置 ， 默 认 时 是 /home 目录 下 与 用 户 名 同名 的 
目录 。 
-g group: 指定 用 户 所 属 的 主 用 户 组 。 
-G groups: 指定 用 户 所 属 的 附加 用 户 组 ， 可 以 指定 多 个 ， 用 “,” 分 隔 。 
-M: 创建 用 户 时 不 创建 用 户 的 主 目 录 ， 默 认 是 要 创建 的 。 
-s shell: 指定 用 户 登录 时 所 使 用 的 Shell。 
-uuid: 指定 用 户 的 UID。 
例如 ， 下 面 的 命令 创建 一 个 名 为 stu 的 用 户 ， 指 定 UID 为 600， 不 创建 主 目录 。 


# useradd -M -u 600 stu 


此 外 ,还 有 一 些 其 他 的 命令 选项 ， 可 以 通过 man useradd 命令 查看 useradd 命令 的 手册 
页 得 到 。 还 有 ，useradd 命令 并 不 能 设置 用 户 的 密码 ， 需 要 用 passwd 命令 进行 设置 ， 执 行 
过 程 如 下 : 


[root@localhost ~]# passwd abc 

Changing password for user abc. 

New UNIX password: 

Retype new UNIX password: 

passwd: all authentication tokens updated successfully. 
[root@localhost ~]# 


DOODODD 


以 上 命令 中 ，passwd abc 表示 对 abe 用 户 设置 密码 。 在 进行 设置 时 ， 要 输 两 次 同样 的 
字符 串 ， 而 且 屏 幕 上 不 显示 。 还 有 ， 如 果 所 设 的 密码 比较 简单 ， 屏 幕 上 将 会 给 出 警告 提示 ， 
可 以 不 予 理 会 。 

创建 用 户 组 的 命令 是 groupadd， 其 格式 相对 简单 ， 如 下 所 示 。 


groupadd [-g GID] <groupname> 


groupname 是 要 创建 的 用 户 组 名 称 ，-g 选项 指定 用 户 组 的 GID， 还 有 一 些 选项 可 以 通 
过 man groupadd 命令 获得 。 此 外 ， 还 有 以 下 儿 条 有 关 用 户 和 用 户 组 管理 的 命令 。 

口 usermod: 修改 用 户 属性 ; 

口 groupmod: 修改 用 户 组 属性 ; 

口 userdel: 删除 用 户 ; 

口 groupdel: 删除 用 户 组 。 

以 上 命令 的 使 用 方法 可 参考 有 关 手 册 ， 此 处 不 再 袭 述 。 


3.2.3 ”进程 管理 


简单 地 说 , 进程 就 是 正在 运行 的 程序 , 计算 机 的 功能 就 是 通过 进程 的 运行 体现 出 来 的 ， 
每 一 种 功能 都 需要 由 相应 的 进程 来 实现 。 当 进程 运行 时 , 需要 占用 一 定 的 CPU 和 内 存 资源 。 
如 果 操 作 系统 中 的 进程 太 多 , 或 者 某 些 进程 占用 的 CPU 和 内 存 资源 太 多 , 都 可 能 会 影响 其 
他 进程 的 执行 ， 从 而 影响 了 该 进程 所 提供 的 功能 。 

每 个 进程 都 有 一 个 唯一 的 标识 符 , 称 为 进程 ID 或 PID。 有 些 进程 之 间 还 有 一 种 父子 关 
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系 ， 子 进程 是 由 父 进程 派生 的 。 当 父 进程 终止 时 ， 子 进程 也 随 之 而 终止 ， 但 子 进程 终止， 
父 进程 并 不 一 定 会 终止 


全 说 明 : 有 些 进 程 也 称 为 守护 进程 ， 它 的 特点 是 平时 处 于 休 眼 状态 ， 等 待 用 户 的 请 求 。 一 
旦 用 户 提出 了 请 求 ， 则 它 将 活跃 起 来 ， 为 用 户 提供 服务 。 


Linux 是 一 个 多 任务 的 操作 系统 ， 为 了 完成 某 些 特定 的 功能 ， 平 时 系统 中 已 经 运行 着 
很 多 进程 ， 而 每 个 用 户 又 可 以 根据 自己 的 需要 运行 很 多 进程 ， 因 此 ， 管 理 员 需要 具有 管理 
进程 的 方法 和 手段 ， 以 便 能 进行 查看 进程 、 终 止 进程 等 操作 。 


1， 以 图 形 方式 管理 进程 


进程 管理 也 可 以 采用 图 形 界 面 和 命令 方式 。 如 果 采 用 图 形 界面 方式 ， 可 以 选择 “应 用 
程序 ”|“ 系 统 工 具 ”|“ 系 统 监视 器 ”命令 ， 然 后 再 选择 “进程 ”标签 ， 将 出 现 如 图 3-38 
所 示 的 窗口 。 该 窗口 列 出 了 系统 中 当前 运行 的 进程 。 

在 图 3-38 中 ， 默 认 时 列 出 了 进程 的 名 称 、 状 态 、CPU 占用 率 、Nice 值 、 进 程 ID 和 所 
占用 的 内 存 。 如 果 用 户 希 望 查看 更 多 的 进程 域 ， 可 以 选择 “编辑 ” |“ 首选 项” 命令， 将 出 
现 如 图 3-39 所 示 的 窗口 ， 然 后 在 进程 域 列表 中 选择 更 多 的 进程 域 。 除 了 进程 域 选择 外 ， 
图 3-39 还 有 其 他 一 些 进程 管理 时 的 设置 ， 具 体 项 目 如 图 所 示 。 


系统 监视 器 - x 回 系统 扑 视 器 首选 项 
监视 器 (M) 编辑 (E) 查看 (V) 帮助 (H) 


| 系统 | 进香 | 天 | 文人 系统 | 进程 货源 文件 系统 
| 前 一 分 钟 、 五 分 钟 、 十 王 为 钟 的 平均 负载 : 1.07 ，0.55 ， 0.24 行为 
更 新 闻 了 ,以 秒 计 (U) : |3.00 局 
| es 状态 %CPU Nice ID 内 存 En 
| le abrtd [ 0 0 1703 108.0KB 国 团 启用 平滑 刷新 (S$) 
使 abrt-dump-oops 睡眠 中 0 0 1711 116.0 KB 团 结束 或 洒 死 进程 前 警 洁 (K) 
@ acpid 用 眼中 0 0 1479 84.0KB 口 solaris 模式 
个 aio/0 睡 眼 中 0 0 30 NA 
e anacron 瞪眼 中 0 0 2464 152.0KB 信息 域 
多 asyngmgr 睡眠 中 0 ou N/A 此 列表 中 显示 的 进程 信息 (N) : 
| 多 atam 用 眼中 0 0 20 N/A 团 进 和 名 
Data_aux 睡 眼中 0 oa N/A 口 用 户 
| le atd 用 眼中 0 0 1730 148.0KB | 团 状态 
| 凶 四 诬 扫 内 存 
| 结束 进程 (P) 
|_ Mm(C) | 
图 3-38 ”进程 管理 窗口 图 3-39 选择 进程 列表 方式 


在 图 3-38 中 , 进程 还 可 以 按照 所 显示 的 进程 域 进行 排序 , 方法 是 单 击 某 一 进程 域名 称 ， 
如 %CPU， 则 进程 将 按照 CPU 占用 率 进行 排序 。 实 际 上 ， 图 3-38 中 只 是 列 出 了 当前 用 户 
所 拥有 的 进程 , 如果 希望 列 出 系统 中 所 有 的 进程 或 处 于 运行 状态 的 进程 ， 可 以 选择 “查看 ” 
主 菜单 中 的 “全 部 进程 ”或 “活动 的 进程 ” 子 菜单 。 

在 “查看 ” 主 菜单 中 ， 还 可 以 通过 选择 “依赖 关系 ”菜单 ， 使 进程 以 树 状 的 形式 列 出 。 
此 时 ,所 有 的 子 进程 将 列 在 父 进程 的 下 一 层次 中 。 还 有 ， 选 中 某 一 进程 后 ， 再 选择 “查看 ” 
主 菜单 中 的 “内 存 映像 ”菜单 ， 可 以 出 现 如 图 3-40 所 示 的 窗口 ， 列 出 了 所 选 进程 占用 内 存 
的 情况 。 如 果 选 择 “ 查 看 ”菜单 中 的 “打开 的 文件 ”菜单 ， 将 出 现 如 图 3-41 所 示 的 窗口 ， 
里 面 列 出 了 所 选 进程 当前 打开 了 哪些 文件 。 

另外 ， 在 如 图 3-38 所 示 的 进程 管理 窗口 的 “编辑 ” 主 菜单 中 ， 还 有 “停止 进程 "””“ 继 


.48 。 


第 3 章 Linux 系统 的 安装 、 管 理 与 优化 


内 存 映射 
进程 "abrtd"(PID 1703) 的 内 存 映像 M): 区 
文件 名 VM 开始 于 VM 终止 于 。 VM 大 小 标 


加 霜 开 的 文件 x 


进程 “abrtd"(PID 1703) 所 打开 的 文件 (E) : 


[stack] bf861969 ”bf816666 84.0KB m™| FD | 类 型 对 象 
b78f8666 。 b78f9666 40KB my ”4 管 通 
b78e1666 。 b78e3666 8.0KB rw 8 本 地 套 接 字 
/usr/lib/locale/locale-archive b76e1698  b78ele90 20MB r- 5 文件 inotify 
/usr/lib/locale/locale-archive b75c3999 。 b76e1696 LI1MB r- 7 本 好 喜 接 字 /Var/run/abrt/abrt.socket 
/usr/lib/locale/locale-archive b75c2699 。 b75c3996 40KB r- 6 文件 /varirun/abrtd.pid 
[heap] 996ad699 696ce669 132.0KB rm 2 文件 Jdev/null 
Jusr/sbin/abrtd 9864d066 6864e900 4.0KB rw 3 管道 
/usr/sbin/abrtd 98648066 。 6864d666 200KB r- 1 文件 六 | 
/usrlibylibreport so.0.0.1 。 geeb4699 。 ggeb5699 4.0KB rw 0 文件 Jdev/null 
/usrlibylibreport so.0.0.1 。 gee9f699 egeb4900 84.0KB r- 
/byld-2.12.so 96e94666 。 69e95669 4.0KB rd 
i rr 
关闭 (G) |_ (©) | 
图 3-40 ”进程 占用 内 存 情况 图 3-41 进程 打开 文件 情况 


续 进 程 `“ 结 束 进 程 ”和 “ 杀 死 进程 ”等 菜单 ， 可 以 对 所 选 的 进程 执行 相应 的 操作 。 其 中 ， 
结束 进程 和 杀 死 进程 的 区 别 是 在 某 些 情 况 下 ， 进 程 可 能 无 法 结束 。 如 果 必 须要 结束 ， 可 以 
将 其 杀 死 。 

2. 以 命令 方式 管理 进程 

前 面 介绍 的 是 图 形 界面 下 的 进程 管理 ，Linux 与 进程 管理 有 关 的 命令 主要 有 ps、kill、 
top 等 。 其 中 ，ps 命令 的 作用 是 以 各 种 方式 列 出 系统 中 的 进程 ，kill 用 于 终止 进程 ， 而 top 
命令 用 于 动态 监视 进程 ， 列 出 CPU 占用 率 较 高 的 进程 。ps 命令 的 选项 非常 多 ， 其 中 常用 
的 是 -e 和 -f 选 项， 分 别 表示 列 出 所 有 进程 和 更 多 的 进程 列 ， 如 下 所 示 。 


[root@localhost ~]# ps -ef 


UID PID PPID C STIME TTY TIME CMD 
root 1937 | 0 Jan24 ? 00:00:00 [kjournald] 
root 2451 0 Jan24 ? 00:00:00 /usr/sbin/restorecond 
root 2463 1 0 Jan24 ? 00:00:00 auditd 
1 0 Jan24 2? 00:00:00 syslogd -m 0 


root 2479 


以 上 命令 列 出 的 进程 会 有 很 多 ， 其 中 每 一 列 的 含义 介绍 如 下 。 

UID: 表示 执行 进程 的 用 户 身 份 ; 

PID: 进程 标识 ; 

PPID: 父 进程 的 标识 ; 

C: 表示 处 理 器 的 利用 率 ; 

STIME: 表示 进程 的 启动 时 间 ; 

TTY: 表示 进程 在 哪个 终端 启动 ; 

TIME: 表示 进程 累计 使 用 的 CPU 时 间 ; 

CMD: 表示 启动 进程 时 所 使 用 的 命令 ， 方 括号 表示 是 内 核 进程 。 
如 果 希 望 从 所 有 进程 中 查找 含有 某 些 关 键 字 的 进程 ， 可 以 使 用 以 下 形式 的 命令 。 
[root@localhost lk Ps -eflgrep syslog 


root 2479 :|L 0 Jan24 ? 00:00:00 syslogd -m 0 
root 10239 10033 0 22:16 pts/5 00:00:00 grep syslog 


DOOOOODODO 


。 49 。 


第 1 篇 预备 知识 
[root@localhost 一] 章 


以 上 命令 列 出 了 包含 有 关键 字 syslog 的 进程 。kill 命令 用 于 终止 某 一 进程 ， 后 面 跟 要 
终止 的 进程 的 PID。 如 果 不 能 终止 ， 可 以 加 -9 选项 强制 终止 。top 命令 可 以 接收 以 下 一 些 
党 


口 -c: ， 而 不 仅仅 是 命令 

口 -dN: re 
口 -I: 禁止 显示 空闲 进程 或 僵尸 进程 。 

口 -nN: 指定 更 新 的 次 数 ， 然 后 退出 。N 表示 次 数 。 
口 -pPID: 仅 监视 指定 PID 的 进程 。 


口 -S: 累积 模式 ， 输 出 每 个 进程 的 总 的 CPU 时 间 ， 包 括 已 死 的 子 进程 。 
以 上 是 有 关 top 命令 的 一 些 选项 的 解释 ， 所 有 的 选项 可 以 通过 man 手册 页 获得 。 


3.2.4 软件 包 管 理 


-个 软件 往往 要 包含 程序 、 配 置 、 说 明文 档 等 很 多 的 文件 。 如 果 需 要 通过 手工 把 这 些 
文件 复制 到 各 个 目录 中 才能 使 用 这 个 软件 ， 则 是 一 件 非 常 繁琐 而 且 容易 出 错 的 事情 。 为 了 
减轻 用 户 的 负担 ， 一 般 操 作 系统 中 都 会 提供 一 种 软件 包 的 管理 工具 ， 把 与 软件 有 关 的 所 有 
文件 放 在 一 个 包 中 ， 需 要 时 再 进行 安装 ， 以 及 其 他 的 管理 操作 。 

RPM (Red Hat Package Manager) 是 在 Linux 下 广泛 使 用 的 软件 包 管理 工具 。 最 早 由 
Red Hat 公司 研制 ， 现 在 也 由 开源 社区 进行 开发 ， 目 前 是 GNU/Linux 下 资源 最 为 丰富 的 软 
件 包 类 型 。RPM 工具 通常 附加 于 Linux 发 行 版 ， 在 包括 Red Hat 在 内 的 多 个 主流 Linux 发 
行 版 本 中 使 用 。 

RPM 软件 包 分 为 二 进 制 包 和 源 代码 包 两 种 。 算 机 中 , 文件 

要 以 .rpm 作为 后 级 ;而 源 代码 包 将 会 由 RPM 自动 编译 、 安 装 ， 经 常 以 src.rpm 作为 后 级 
名 。 有 时 候 ， 一 个 RPM 包 中 的 软件 除了 需要 自身 所 附带 的 文件 外 ， 还 需要 其 他 一 些 RPM 
包 的 支持 ， 这 称 为 软件 包 的 依赖 关系 。 通 过 RPM 包 管 理工 具 ， 可 以 完成 以 下 一 些 功能 
可 以 安装 、 删 除 、 升 级 和 管理 软件 ， 支 持 在 线 方式 。 
查看 RPM 软件 包 包含 哪些 文件 ， 或 者 查看 某 个 文件 属于 哪个 软件 包 。 

可 以 在 系统 中 查询 某 个 软件 包 是 否 已 安装 以 及 其 版 本 。 

作为 开发 者 可 以 把 自己 的 有 关 程 序 的 文件 打包 为 RPM 包 进 行 发 布 。 

RPM 包 可 以 设置 GPG 和 MD5 签名 。 

对 RPM 包 进 行 依赖 性 的 检查 。 

当 具 体 管理 RPM 包 时 ， 可 以 使 用 rpm 命令 ,其 格式 非常 复杂 ， 下 面 看 儿 个 命令 例子 。 
示例 1: 

# rpm -qa 


功能 : 以 上 命令 列 出 系统 目前 已 安装 的 所 有 软件 包 ， 因 为 非常 多 ， 可 以 在 命令 后 加 
“|more” 使 之 显示 时 满 屏 暂停 。 
示例 2: 


[root@localhost ~]# rpm -qalgrep httpd 
httpd-2.2.15-15.e16 2.1-1686 


DOOOOO 
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httpd-tools-2.2.15-15.e16 2.1.i686 

httpd-manuial-2.2.15=15.€16 2.1.noarch 

[root@localhost ~]# 

功能 : 加 了 |grep httpd 后 表示 把 系统 中 安装 的 包含 httpd 的 RPM 包 列 出 来 ， 即 查询 系 
统 是 否 安装 了 httpd 包 。 

示例 3: 


[root@localhost ~]# rpm -qf /etc/yum.conf 
yum-3.2.29-30.el6.noarch 

[root@localhost ~]# 

功能 : -qf 选项 表示 查看 随后 的 /etc/yum.conf 文件 属于 哪个 软件 包 。 
示例 4: 

[root@localhost ~]# rpm -ql yum 

/etc/logrotate.d/yum 


/etc/yum 
/etc/yum.conf 


功能 : -ql 选项 表示 查看 随后 的 yum 软件 包 包含 了 哪些 文件 。 此 处 ， 只 需 指出 包 名 即 
可 ， 包 的 版 本 号 可 以 省 略 。 
示例 5: 


[root@localhost ~]# rpm -qi yum 


功能 : -qi 选项 表示 列 出 随后 的 yum 软件 包 的 说 明 信 息 。 
示例 6: 

[root@localhost ~]# rpm -qR yum 
/usr/bin/python 

config(yum) = 3.2.29-30.el16 

Pygpgme 


功能 : -qR 选项 表示 列 出 随后 的 yum 软件 包 的 依赖 关系 ， 即 安装 yum 软件 包 时 ， 系 统 
中 应 该 事先 安装 哪些 文件 或 软件 包 。 

以 上 是 查询 系统 中 已 安装 的 RPM 包 的 有 关 信息 。 如 果 某 一 个 RPM 包 还 没有 安装 ， 也 
可 以 查看 类 似 的 信息 ， 只 是 需要 再 加 一 个 -p 选项 。 例 如 ， 假 设 当 前 目录 下 有 一 个 名 为 
clamd-0.94.2-1.el5.rf.i386.rpm 的 RPM 包 文 件 ， 现 在 还 没有 安装 ， 但 想 看 一 下 该 RPM 包 文 
件 中 包含 了 哪些 文件 ， 可 以 使 用 以 下 命令 : 

[root@localhost ~]# rpm -qpl clamd-0.94.2-1.e15.rf.i386.rPm 

/etc/clamd.conf 


/etc/logrotate.d/clamav 
/etc/rc.d/init.d/clamd 


| 


下 面 再 介绍 一 下 利用 rpm 命令 安装 、 删 除 和 升级 软件 的 命令 格式 。 
示例 7: 


[root@localhost ~]# rpm -ivh clamd-0.94.2-1.el15.rf.i386.rpm 
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Preparing... 排 非 非 提 提 提 提 提 提 提 提 大 提 捍 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 间 间 非 提 提 提 间 # [1OOSS] 
1:clamd 排 非 非 提 提 提 提 提 提 提 提 提 提 捍 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 间 间 间 间 提 提 提 ## [了 00 村] 


[root@localhost ~]# 

功能 : -ivh 选项 表示 对 随后 的 clamd-0.94.2-1.el5.rfi386.rpm 包 文 件 进行 安装 。 如 果 该 
包 所 依赖 的 软件 包 还 没 安装 , 或 所 需要 的 文件 不 存在 ， 则 安装 会 不 成 功 , 并 出 现 出 错 提示 。 

示例 8: 


[root@localhost ~]# rpm -ivh clamd-0.94.2-1.e15.rf.i386.rpm --nodeps 
--force 


功能 : --nodeps -force 选项 表示 不 管 依 赖 关 系 强行 安装 软件 包 。 但 这 种 方式 安装 的 软 
件 包 往往 是 不 能 工作 的 。 
示例 9: 


[root@localhost ~]# rpm -e clamd-0.94.2-1.el5.rf 


功能 ，-e 选项 表示 要 删除 随后 的 clamd-0.94.2-1.el5.rf 软件 包 。 
示例 10: 
[root@localhost ~]# rpm -Uvh clamd-0.95.1-1.el5.rf.i386.rpm 
功能 : - Uvh 选项 表示 要 升级 clamd 软件 包 。 
以 上 介绍 的 是 RPM 软件 包 管 理 的 一 些 命 
令 的 例子 。 在 RHEL 6 的 桌面 系统 中 , 也 可 以 sx(8) it 过 日 大 W) 


通过 选择 “系统 ”| 管理 "|* 添 加 /删除 软件 ” 区 一 [06 cosppert eon 
命令 对 软件 包 进 行 管理 , 此 时 将 出 现 如 图 3-42 i 
所 示 的 窗口 RE 0 0.35-10.el6 (i686) 
Sy i i 的 eo 一 
在 图 3-42 中 ， 所 有 的 软件 包 都 在 窗口 中 。 最 和 了 三 
列 出 来 ， 软 件 包 前 面 的 复 选 框 如 果 被 选择 ， 号 Ssx | assetean 国 
表示 已 安装 ， 没 有 被 选择 的 ， 表 示 还 未 安装 。 网 wwwnts i 
可 以 通过 选择 或 取消 软件 包 前面 复 选 框 来 安 。 时 sa a 
装 或 删除 软件 包 ， 再 单 击 “应 用 ”按钮 安装 。 加 之 站 yer | Ese sm 
3 HA rE ~ = [>) other ChD) 
使 之 生效 。 如 果 安 装 软件 包 时 发 现 所 依赖 的 。 上 EE 


软件 包 还 未 安装 ， 会 自动 安装 。 


全 注意 : 除了 删除 软件 包 外 ， 上 述 功能 的 实 
现 需要 正确 的 yum 配置 。 


图 3-42 ”软件 包 管理 工具 


3.3 Linux 性 能 优化 


为 了 方便 安装 ，RHEL 6 的 很 多 系统 配置 选项 采用 的 都 是 默认 值 ， 这 些 默 认 值 并 不 一 
定 会 适合 用 户 的 特定 要 求 。 另 外 ， 系 统 在 使 用 的 过 程 中 会 由 于 各 种 原因 使 性 能 变 差 。 这 都 
需要 管理 员 对 Linux 的 性 能 进行 优化 ， 以 满足 个 性 化 的 要 求 。 下 面 将 介绍 有 关 Linux 性 能 
优化 方面 的 内 容 ， 包 括 如 何 尽量 减少 服务 进程 、 文 件 系统 参数 优化 、 内 核 参数 调整 等 。 
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3.3.1 关闭 不 需要 的 服务 进程 


在 默认 的 安装 方式 下 ， 当 Linux 系统 运行 时 ， 内 存 中 会 有 很 多 的 进程 ， 这 些 进 程 对 于 
特定 目的 的 Linux 系统 来 说 ， 并 不 都 是 必需 的 。 例 如 ， 如 果 某 一 Linux 系统 主要 为 外 界 提 
供 Web 服务 ， 上 面 运行 着 Apache 服务 器 ， 则 其 他 的 一 些 进程 如 Sendmail 等 ， 就 没有 必要 
运行 ， 应 该 将 其 终止 。 这 样 ， 不 仅 会 为 Apache 服务 器 的 进程 腾 出 CPU 和 内 存 资源 ， 而 且 
减少 了 由 于 Sendmail 进程 可 能 存在 的 漏洞 而 造成 的 安全 威胁 。 

当 Linux 安装 时 ， 默 认 已 经 设置 了 部 分 进程 是 自动 启动 的 ， 用 户 可 以 根据 需要 改变 这 
些 设 置 。 方 法 是 在 桌面 环境 下 ， 选 择 “系统 ”|“ 管 理 ”|“ 服 务 ” 命 令 ， 将 出 现 如 图 3-43 
所 示 的 窗口 。 在 左边 的 列表 框 中 ， 列 出 了 当前 系统 可 以 运行 的 服务 。 某 一 服务 进程 的 当前 
状态 可 以 选中 后 从 右边 的 “状态 ”文本 提示 框 中 看 到 。 服 务 管理 窗口 中 还 提供 了 “开始 ”、 
“停止 ”和 “重启 ”按钮 ， 可 以 分 别 对 选中 的 服务 进程 进行 启动 、 终 止 和 重启 操作 。 

另外 ， 服 务 进程 列表 框 中 的 每 一 个 服务 进程 前 面 都 有 一 个 复 选 框 ， 复 选 框 里 面 打 勾 的 
表示 系统 启动 后 要 自动 运行 该 服务 进程 。 因 此 ， 如 果 不 希望 某 一 服务 进程 在 开机 时 被 自动 
运行 ， 可 以 把 该 服务 进程 前 面 的 勾 去 掉 。 反 之 ， 如 果 希 望 某 个 服务 进程 开机 时 要 自动 运行 
的 ， 可 以 在 其 前 面 的 方 框 内 打上 勾 。 

Linux 的 服务 是 分 运行 级 别 的 ， 用 户 可 用 的 级 别 有 3、4、5 三 个 。 在 RHEL 6 默认 安装 
时 ， 系 统 启动 后 是 处 在 第 $ 运行 级 别 的 ， 这 也 是 图 形 桌 面 方式 的 级 别 ， 在 图 3-43 所 示 的 服 
务 进程 管理 窗口 中 列 出 的 只 是 第 5 运行 级 别 的 服务 进程 。 如 果 希 望 列 出 其 他 运行 级 别 的 服 
务 进 程 ， 可 以 在 “定制 ”菜单 中 选择 相应 的 运行 级 别 ， 如 图 3-44 所 示 。 


程序 (P) 。 服务 (Y) 帮助 (H) 


加 @ © 司 
药 用 (D) 定制 (C) 停止 (b 重启 (R) 帮助 
曾 启 动 服务 NetworkManager , 通 党 在 系统 引 
E 国 和 导 时 启动 ,在 后 台 运 行 ， 并 在 需要 时 醒 来 * 

3 全 局 用 了 这 个 服务 
网 | abrt-ccpp Installs co .| 这 个 服务 正在 运行 。 
图 本 abrtoops Watches s| | 搞 过 
图 呵 abrtd Saves segl| | NetworkManager is a tool for easily Cd 
@ 4 acpid start and s| | managing network connections 和 bluetooth 服务 : 
豆 梧 atd Starts/stof DO Lh 
©@ 4 auditd Ed patie 
贺 司 autofs Automoun 问 运 和 级别 4 
回避 avahi-daemon Starts the 3 
网 使 | bluetooth Triager blu\] I" [ 
CI 取消 (C) | | 确定 (0) | 

图 3-43 ”服务 进程 管理 窗口 图 3-44 ”所 有 级 别 的 服务 进程 


当 使 用 图 形 界面 时 ， 需 要 运行 很 多 的 进程 ， 占 用 很 多 的 系统 资源 ， 而 对 于 专门 为 外 界 
提供 网 络 服务 的 服务 器 来 说 ， 图 形 界面 几乎 是 没有 用 处 的 。 因 此 , 为 了 优化 服务 器 的 性 能 ， 
往往 希望 Linux 开机 时 不 要 进入 图 形 界 面 状态 ， 此 时 ， 可 以 通过 改变 系统 的 初始 运行 级 别 
来 达到 目的 。 具 体 方 法 是 在 /etc/inittab 文件 中 找到 以 下 一 行 代码 : 

id:5:initdefault: 

上 面 一 行 代码 中 的 数字 5 就 表示 Linux 启动 后 进入 第 5 运行 级 别 ， 即 图 形 方式 。 如 果 
将 其 改 为 3， 则 Linux 启动 后 将 进入 第 3 运行 级 别 ， 即 字符 状态 的 多 任务 模式 。 于 是 ， 有 
关 GNOME 桌面 系统 的 进程 就 不 会 运行 ， 将 节省 大 量 的 系统 资源 。 
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3.3.2 文件 系统 参数 优化 


某 些 服 务 器 需要 存储 大 量 的 文件 ， 以 供 客户 机 读 取 ， 如 FTP 服务 器 、 数 据 库 服务 器 、 
视频 服务 器 等 。 此 时 ， 需 要 在 主机 上 安装 大 容量 的 磁盘 ， 并 在 磁盘 上 创建 文件 系统 ， 以 便 
能 存储 文件 。 大 部 分 的 文件 系统 创建 时 ， 需 要 确定 各 种 各 样 的 参数 ， 这 些 参数 对 以 后 访问 
该 文件 系统 时 的 性 能 有 很 大 的 影响 。 有 些 参 数 一 旦 设置 ， 以 后 将 不 能 改变 ， 而 有 些 是 可 以 
调整 的 。 

Linux 常用 的 文件 系统 类 型 是 ext3 和 ext4, 磁盘 分 区 完成 后 ,可 以 使 用 mke2fs 命令 在 
分 区 上 创建 文件 系统 。 当 执行 mke2fs 命令 时 , 需要 确定 文件 系统 的 各 种 参数 。 如 果 不 指定 ， 
将 采用 系统 默认 值 。 为 了 使 创建 的 文件 系统 符合 应 用 的 需要 ， 可 能 要 改变 系统 的 默认 值 。 
下 面 将 介绍 几 个 对 性 能 影响 较 大 的 参数 设置 。 


1. 磁盘 分 配 单元 


磁盘 分 配 单元 是 指 文件 系统 分 配 磁盘 空间 时 的 基本 单位 ， 在 文件 存储 时 ， 是 按照 分 配 
单元 的 大 小 被 分 成 若干 块 存储 在 磁盘 上 的 。 一 般 来 说 ， 分 配 单元 越 小 越 节约 空间 ， 但 会 浪 
费时 间 。 例如， 一 个 1025 个 字 节 大 小 文件 ， 当 分 配 单元 是 512 字 节 时 ， 它 需要 3 个 分 配 单 
元 ， 占 用 1536 字 节 的 存储 空间 。 而 当 分 配 单元 为 4096 时 ,， 它 就 会 占用 4096 字 节 的 存储 空 
间 。 因 此 ， 从 平均 来 说 ， 分 配 单元 小 更 能 节约 空间 ， 但 是 ， 一 个 文件 被 分 成 的 块 数 越 多 ， 
特别 是 存储 单元 分 散 时 ， 读 取 数 据 时 将 需要 更 多 的 时 间 。 

当 用 户 设置 磁盘 分 配 单元 大 小 时 , 需要 综合 各 方面 的 因素 来 考虑 。 从 平均 的 角度 来 说 ， 
一 个 文件 要 浪费 半 个 分 配 单元 的 空间 。 因此, 对 于 专门 存放 音 视 频 这 些 大 文件 的 分 区 来 说 ， 
由 于 文件 数目 相对 较 少 ,可 以 把 分 配 单元 设 为 16KB 或 者 更 大 ,以便 加 快 文件 的 访问 速度 。 
当 执 行 mke2fs 命令 时 ， 可 以 使 用 -b 选项 指定 磁盘 分 配 单元 的 大 小 。 


2. 日 志 记 录 选 项 


有 些 文件 系统 可 以 设置 日 志 记录 功能 ， 以 便 在 文件 系统 损坏 时 ， 可 以 全 部 或 部 分 恢复 
数据 。 有 关上 日 志 记 录 的 选择 共有 3 种 , 一 是 writeback 方式 ， 它 不 执行 任何 形式 的 数据 日 志 
记录 ， 当 文件 损坏 时 将 无 法 恢复 ， 但 速度 最 快 ， 第 二 种 是 ordered 方式 ， 它 是 一 种 非 完 整 
的 日 志 记录 方式 ,能 够 修复 常见 的 文件 损坏 , 但 速度 要 比 writeback 方式 慢 ; 第 三 种 是 journal 
方式 ， 它 是 一 种 完整 的 日 志 记录 方式 ， 可 以 解决 所 有 的 文件 损坏 问题 ， 但 速度 最 慢 。 

当 使 用 journal 方式 时 ， 可 以 通过 把 日 志 数据 存放 到 其 他 物理 磁盘 来 改善 性 能 。 当 执行 
mke2fs 命令 时 ， 可 以 使 用 “-J device=journal-device size=journal-size” 选 项 指定 记录 日 志 尼 
设备 及 空间 大 小 。 其 中 ，journal-device 是 设备 的 名 称 ，journal-size 是 分 配给 日 志 的 空间 大 
小 ， 至 少 要 有 1024 个 磁盘 分 配 单元 大 小 。 


全 注意 : 在 具体 应 用 中 ， 是 否 使 用 日 志 记录 功能 需要 根据 实际 情况 来 决定 。 例 如 ， 对 于 安 
装 系 统 文件 的 分 区 来 说 ， 最 好 要 开启 完整 的 日 志 记录 功能 ， 以 保证 数据 的 安全 。 
而 对 于 提供 用 户 下 载 文件 的 分 区 ， 如 果 文件 已 经 有 完整 的 备份 ， 可 以 不 开启 日 志 
记录 功能 ， 以 加 快 访问 速度 。 
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3. 保留 单元 


保留 单元 是 保留 给 管理 员 用 户 使 用 的 磁盘 空间 ， 以 便 在 其 他 用 户 ， 如 FTP 用 户 、 邮 件 
用 户 等 ， 把 磁盘 空间 耗 尽 时 ， 管 理 员 还 能 利用 保留 单元 进行 一 些 应 急 工作 。 系 统 默 认 的 保 
留 单元 占 文件 系统 总 单元 的 5%， 在 大 多 数 情况 下 ， 这 个 比例 显得 有 点 大 ， 可 能 要 浪费 比 
较 多 的 空间 。 当 执行 mke2fs 命令 时 ， 可 以 通过 “-m reserved-percentage” 选 项 改变 保留 单 
元 的 比例 。 当 然 ， 改 变 保留 单元 的 比例 只 是 增加 了 可 利用 的 空间 ， 不 会 影响 文件 系统 的 访 
问 速度 。 

4. 检查 间隔 


当 使 用 ext3 或 ext4 文件 系统 时 , 可 以 指定 经 过 一 定 次 数 的 安装 后 或 者 安装 以 后 经 过 一 
定 的 时 间 ， 系 统 要 自动 对 文件 系统 进行 检查 ， 以 便 及 时 发 现 并 纠正 文件 系统 中 的 错误 。 但 
是 , 这 种 检查 需要 花费 较 长 的 时 间 , 特别 是 对 ext4 文件 系统 来 说 。 因 此， 如 果 检 查 太 频繁 ， 
将 会 影响 性 能 。 用 户 可 以 根据 实际 情况 改变 两 次 检查 的 间隔 时 间 ， 具 体 方法 是 执行 tune2fs 
命令 时 ， 使 用 “-c max-mount-counts ”和 “-i interval-between-checks” 选 项 分 别 设置 检查 的 
最 大 安装 次 数 和 时 间 间 隔 。 


3.3.3 ”内 核 参 数 优化 


Linux 是 一 种 开放 源 代码 的 操作 系统 ， 用 户 可 以 获得 Linux 的 内 核 源 代 码 ， 然 后 根据 
自己 的 要 求 进行 编译 。 当 进行 编译 时 ， 可 以 设置 很 多 的 编译 参数 ， 以 便 最 后 产生 的 内 核 符 
合 自己 的 个 性 化 要 求 。 另 外 ， 对 于 已 经 编译 完成 的 内 核 ， 在 其 工作 过 程 中 ， 用 户 也 可 以 根 
据 需 要 对 它 运 行 时 的 参数 进行 修改 。 

在 RHEL 6 中 ， 可 以 使 用 sysctl 命令 对 内 核 参数 进行 动态 修改 ， 并 可 以 使 其 马上 生效 。 
可 以 进行 调整 的 内 核 参数 非常 多 ， 例 如 ， 共 享 内 存 段 大 小 的 调整 、NFS 客户 可 以 在 操作 系 
统 中 使 用 的 线程 数 ， 以 及 操作 系统 允许 的 最 大 进程 数 等 。 下 面 是 几 个 sysctl 命令 的 例子 。 

示例 1: 

[root@localhost ~]# sysctl -almore 

sunrpc.max resvport = 1023 

sunrpc.min resvport = 665 

sunrpc.tcp slot table entries 


sunrpc.udp_slot _ table entries 
sunrpc.nlm debug = 0 


16 
16 


-a 选项 表示 把 所 有 的 内 核 参 数 及 其 当前 值 显示 出 来 ， 总 共有 500 多 个 参数 。 
示例 2: 


[root@localhost ~]# sysctl -n kernel.hostname 
localhost.localdomain 
[root@localhost ~]# 


-n 选项 表示 显示 某 一 内 核 参数 的 值 。 从 以 上 命令 中 可 以 看 到 ， 内 核 参数 kernel.host- 
name 的 值 是 localhostlocaldomain， 这 个 参数 实际 上 就 是 系统 当前 的 主机 名 。 
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示例 3: 


[root@localhost ~]# sysctl -w kernel.hostname="example.com" 
kernel.hostname = example.com 

[root@localhost ~]# sysctl -n kernel.hostname 

example.com 

[root@localhost ~]# 


-w 选项 表示 改变 某 一 内 核 参数 的 值 , 以 上 例子 中 把 内 核 参数 kernel.hostname 的 值 改 成 


了 example.com， 实 际 上 改变 的 就 是 系统 主机 名 。 当 再 次 显示 该 参数 时 ， 发 现 结果 已 经 
生效 。 


名 说明: 系统 主机 名 修改 后 ， 如 果 打 开 一 个 新 的 终端 ， 可 以 发 现 “# 前 面 的 主机 名 也 已 
发 生 改 变 。 


示例 4: 


[root@localhost ~]# sysctl -p /etc/sysctl.conf 
net.ipv4.ip forward = 0 
net.ipv4.conf.default.rp filter = 1 


kernel.shmmax 4294967295 

kernel.shmall 268435456 

[root@localhost ~]# 

-p 选项 表示 把 某 一 文件 中 以 “参数 = 值 ”形式 编辑 的 行 提 取出 来 ， 并 以 此 对 内 核 参数 
进行 设置 。 如果 不 指定 文件 名 , 默认 使 用 的 也 是 /etc/sysctl.conf。 例如 , 如 果 把 kernel.hostna- 
me=myhost.com 放 入 /etc/sysctl.conf 中 ， 则 执行 上 述 命令 时 ， 将 把 内 核 参数 kernel.hostname 
设 为 myhost.com。 /etc/sysctl.conf 是 系统 安装 后 就 产生 的 配置 文件 ,里 面 放置 了 几 个 用 户 可 

E 经 常 调整 的 内 核 参数 。 

实际 上 ， 所 有 的 内 核 参 数 也 以 虚拟 文件 系统 的 形式 存放 在 /proc/sys 目录 中 ， 用 户 可 以 
直接 查看 并 修改 。 例 如 ， 内 核 参数 kernel.hostname 对 应 的 文件 是 /proc/sys/kernel/hostname 。 
如 果 用 户 改 变 该 文件 的 内 容 ， 实 际 上 就 是 改变 了 内 核 参数 的 值 ， 即 执行 以 下 命令 时 : 


[root@localhost proc]# echo "myhost.com" > /proc/sys/kernel/hostname 


实际 上 就 是 把 内 核 参 数 kernel.hostname 改 为 myhost.com,，, 与 前 面 的 儿 种 改 法 效果 一 样 。 


3.4 小 结 


本 章 以 Red Hat Enterprise Linux 6 为 例 , 介绍 了 有 关 Linux 系统 的 安装 、 管理 和 优化 方 
法 。 对 于 架设 网 络 服务 器 来 说 ， 操 作 系 统 的 安装 和 管理 是 基础 ， 没 有 一 个 好 的 操作 系统 环 
境 ， 服 务 器 运行 时 的 稳定 性 和 可 靠 性 也 将 无 法 保证 。 另 外 ， 在 以 后 架设 服务 器 时 ， 各 种 服 
务 器 可 能 还 要 根据 自己 的 特点 对 系统 进行 优化 配置 。 本 章 最 后 还 介绍 了 有 关系 统 优化 的 
内 容 。 
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Linux 系统 具有 丰富 的 网 络 功能 , 在 使 用 网 络 或 为 网 络 中 的 其 他 主机 提供 网 络 服务 前 ， 
必须 要 先 配置 好 网 络 接口 。 本 章 主要 介绍 TCP/IP 网 络 的 一 些 基础 理论 知识 、 网 络 配置 中 
需要 理解 的 概念 以 及 如 何在 图 形 环境 下 ， 配 置 各 种 网 络 接口 。 


4.1 TCP/IP 网 络 基础 


TCP/IP 协议 簇 包含 了 一 系列 构成 互联 网 基础 的 网 络 协议 , 这 些 协议 最 早 发 源 于 美国 国 
防 部 的 ARPA 网 络 项 目 。 其 中 的 TCP 和 IP 是 两 个 最 重要 的 协议 ， 分 别称 为 传输 控制 协议 
和 网 际 协议 。 下 面 将 介绍 ， 与 TCP/IP 有 关 的 一 些 网 络 基 础 理论 知识 ， 包 括 网 络 协议 的 概 
念 、ISO/OSI 网 络 参考 模型 以 及 TCP/IP 模型 。 


4.1.1 网 络 协议 


网 络 协议 (Protocol) 是 网 络 上 所 有 设备 (网 络 服务 器 、 计 算 机 及 交换 机 、 路 由 器 、 防 
火 墙 等 ) 之 间 通 信 规 则 的 集合 ， 它 规定 了 通信 时 信息 必须 采用 的 格式 和 这 些 格式 的 意义 。 
网 络 协议 是 一 种 特殊 的 软件 ， 是 计算 机 网 络 实现 其 功能 的 最 基本 机 制 。 网 络 协议 的 本 质 是 
规则 ， 即 各 种 硬件 和 软件 必须 遵循 的 共同 守则 。 网 络 协议 并 不 是 一 套 单独 的 软件 ， 它 融合 
于 其 他 所 有 的 软件 系统 中 ， 因 此 可 以 说 ， 协 议 在 网 络 中 无 所 不 在 。 

为 了 简化 协议 的 实现 ， 以 及 方便 网 络 的 互 连 ， 大 多 数 网 络 都 采用 分 层 的 体系 结构 ， 每 
一 层 都 建立 在 它 的 下 层 之 上 ， 并 向 它 的 上 一 层 提供 一 定 的 服务 。 在 网 络 的 各 个 层次 中 存在 
着 许多 协议 ， 接 收 方 和 发 送 方 同 层 的 协议 必须 一 致 ， 否 则 一 方 将 无 法 识别 另 一 方 发 出 的 
信息 。 


4.1.2 ISO/OSI 模型 


早期 的 计算 机 网 络 是 采用 不 同 的 技术 规范 和 实现 方法 组 成 的 独立 的 系统 ， 它 们 之 间 存 
在 着 兼容 性 问题 。 为 了 解决 网 络 之 间 不 兼容 而 导致 的 相互 之 间 无 法 通信 的 问题 ， 国 际 标准 
化 组 织 (ISO) 于 1984 年 发 布 了 开放 系统 互联 (Open System Interconnect，OSI) 模型 。 该 
参考 模型 为 厂商 提供 了 一 系列 的 标准 ， 确 保 由 世界 上 多 家 公司 生产 的 不 同类 型 的 网 络 产品 
之 间 能 够 具有 更 好 的 兼容 性 和 互 操作 性 。OSI 模型 的 具体 内 容 如 图 4-1 所 示 ， 各 个 协议 层 
的 功能 如 下 所 示 。 

物理 层 规定 通信 设备 的 机 械 的 、 电 气 的 、 功 能 的 和 规程 的 特性 ， 用 以 建立 、 维 护 和 拆 
除 物理 链 路 连接 。 具 体 来 讲 ， 机 械 特性 规定 了 网 络 连接 时 所 需 接 插件 的 规格 尺寸 、 引 脚 数 
量 和 排列 情况 等 。 电 气 特性 规定 了 在 物理 连接 上 传输 bit 流 时 线路 上 信号 电 平 的 大 小 、 阻 
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抗 匹配 、 传 输 速率 和 距离 限制 等 。 功 能 特性 是 指 给 各 个 信号 分 配 确切 的 信号 含义 ， 即 定义 
了 DTE 和 DCE 之 间 各 个 线路 的 功能 ;规程 特性 定义 了 利用 信号 线 进行 bit 流传 输 的 一 组 操 
作 规 程 ， 是 指 在 物理 连接 的 建立 、 维 护 、 交 换 信息 时 ，DTE 和 DCE 双方 在 各 电路 上 的 动 
作 序 列 。 


主机 A 主机 B 
7 应 用 层 7 应 用 层 
6 表示 层 6 表示 层 
5 会 话 层 5 会 话 层 
4 传输 层 4 传输 层 
3 网 络 层 3 网 络 层 
2 数据 链 路 层 2 数据 链 路 层 
1 物理 层 1 物理 层 


传输 介质 


图 4-1 ISO/OSI 模型 


数据 链 路 层 在 物理 层 提供 比特 流 服 务 的 基础 上 ， 建 立 相 邻 节点 之 间 的 数据 链 路 ， 通 过 
差错 控制 提供 数据 帧 Frame) 在 信道 上 无 差错 的 传输 ， 并 规定 各 电路 上 的 动作 序列 。 数 
据 链 路 层 在 不 可 靠 的 物理 介质 上 提供 可 靠 的 传输 。 该 层 的 作用 包括 物理 地 址 寻 址 、 数 据 的 
成 帧 、 流 量 控制 、 数 据 的 检 错 和 重 发 等 。 在 这 一 层 ， 数 据 的 单位 称 为 帧 “Frame )。 

网 络 层 的 任务 就 是 选择 合适 的 网 间 路 由 和 交换 节点 ， 确 保 数 据 及 时 传送 。 网 络 层 将 传 
输 层 提 供 的 数据 封装 成 数据 包 ， 封 装 中 含有 网 络 层 包头 ， 其 中 包括 源 站 点 和 目的 站 点 的 由 
辑 地 址 信息 。 除 了 地 址 解析 和 路 由 功能 外 ,网 络 层 还 可 以 实现 拥塞 控制 、 网 际 互 连 等 功能 。 
在 网 络 层 ， 数 据 的 单位 称 为 数据 包 〈packet)。 

传输 层 为 上 层 提 供 端 到 端的 透明 的 、 可 靠 的 数据 传输 服务 ， 并 向 会 话 层 提供 独立 于 网 
络 的 传输 服务 。 它 必须 跟踪 数据 单元 碎片 、 乱 序 到 达 的 数据 包 和 解决 其 他 在 传输 过 程 中 可 
能 发 生 的 问题 。 传 输 层 是 OSI 参考 模型 中 最 重要 、 最 关键 的 一 层 ， 是 唯一 负责 总 体 数据 传 
输 和 控制 的 一 层 。 

会 话 层 也 称 为 会 喇 层 或 对 话 层 ， 在 会 话 层 及 以 上 的 高 层次 中 ， 数 据 传送 的 单位 不 再 另 
外 命名 ， 统 称 为 报 文 。 会 话 层 不 参与 具体 的 传输 ， 它 提供 包括 访问 验证 和 会 话 管理 在 内 的 
建立 和 维护 应 用 之 问 通 信 的 机 制 。 例 如 ， 服 务 器 验证 用 户 登录 便 是 由 会 话 层 完成 的 。 

表示 层 主要 解决 用 户 信息 的 语法 表示 问题 。 它 将 欲 交 换 的 数据 从 适合 于 用 户 的 抽象 语 
法 ， 转 换 为 适合 于 OSI 系统 内 部 使 用 的 传送 语法 ， 即 提供 格式 化 的 表示 和 转换 数据 服务 。 
数据 的 压缩 和 解压 缩 ， 加 密 和 解密 等 工作 都 由 表示 层 负责 。 例 如 ， 某 种 格式 图 像 的 显示 ， 
就 是 由 位 于 表示 层 的 协议 来 支持 的 。 

应 用 层 为 操作 系统 或 网 络 应 用 程序 提供 访问 网 络 服务 的 接口 。 应 用 层 是 直接 面向 用 户 
的 一 层 ， 用 户 的 通信 内 容 要 由 应 用 进程 〈 或 应 用 程序 ) 来 发 送 或 接收 的 。 这 就 需要 应 用 层 
采用 不 同 的 应 用 协议 来 解决 不 同类 型 的 应 用 需求 ， 并 且 保 证 这 些 不 同类 型 的 应 用 所 采用 的 
低层 通信 协议 是 相同 的 。 
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全 注意 : ISO/OSI 只 是 一 个 网 络 结构 参考 模型 ， 在 理论 研究 上 有 重大 意义 ， 但 在 实际 应 用 
中 并 没有 真正 地 实现 。 实际 应 用 中 广泛 使 用 的 是 TCP/IP 模型 。 
4.1.3 TCP/IP 模型 


虽然 ISO 的 OSI 参考 模 型 提供 了 完整 的 协议 分 层 , 但 由 于 过 于 复杂 ， 从 来 就 没有 被 真 
正 实现 过 ,而 Internet 的 迅速 发 展 却 使 TCP/IP 


协议 成 为 了 事实 上 的 标准 。 与 ISO/OSI 参考 re 

模型 不 同 ，TCP/IP 模型 更 侧重 于 互联 设备 间 2 pe 

的 数据 传送 ， 而 不 是 严格 的 功能 层次 划分 。 A |" 
会 二 反 


TCP/IP 模型 的 层次 结构 ,以 及 与 OSI 参考 模 
i 上 传输 层 | 一 一 > ”传输 层 
型 的 对 应 关系 如 图 4-2 所 示 。 
网 络 层 ” 民 二 一 > 网 际 互联 层 
名 注意 : TCP/IP 是 由 很 多 协议 构成 的 协议 数据 链 路 层 i , 
禾 , 并 不 只 是 TCP 和 IP 两 种 协议 。 物理 慑 人 


从 图 4-2 中 可 以 看 到 ，TCP/IP 模型 中 的 ”图 4-2 OSI 参考 模型 与 TCP/IP 模型 的 对 应 关系 
应 用 层 相 当 于 OSI 参考 模型 中 的 会 话 层 、 表 
示 层 和 应 用 层 。 而 网 络 接 口 层 相当 于 OSI 参考 模型 中 的 数据 链 路 层 和 物理 层 。TCP/IP 模型 
是 在 TCP/IP 协议 使 用 很 久 后 才 出 现 的 ， 因 此 更 强调 功能 的 分 布 而 不 是 严格 的 层次 划分 。 
TCP/IP 模型 中 的 各 层次 的 功能 如 下 所 示 。 

网 络 接 口 层 与 OSI 参考 模型 中 的 物理 层 和 数据 链 路 层 相 对 应 。 事实 上 ,TCP/IP 本 身 并 
未 定义 该 层 的 协议 ， 而 是 由 参与 互 连 的 各 种 类 型 的 网 络 使 用 自己 的 物理 层 和 数据 链 路 层 协 
议 ， 然 后 与 TCP/IP 的 网 络 接口 层 进行 对 接 。 在 实际 应 用 中 ， 网 络 接口 层 与 以 太 网 、 令 牌 
环 网 及 ATM 等 网 络 技术 密切 相关 。 

网 际 互联 层 对 应 于 OSI 参考 模型 中 的 网 络 层 ， 主 要 解决 主机 到 主机 之 间 的 通信 问题 。 
该 屋 有 4 个 主要 协议 : 网 际 协议 (IP)、 地 址 解析 协议 (ARP)、 反 向 地 址 解析 协议 (RARP) 
和 互联 网 控制 报 文 协议 (ICMP)。IP 协议 是 网 际 互联 层 最 重要 的 协议 ， 它 提供 的 是 一 个 不 
可 靠 、 无 连接 的 数据 报 传递 服务 。 

传输 层 对 应 于 OSI 参考 模型 的 传输 层 ， 为 应 用 层 实 体 提 供 端 到 端的 通信 功能 。 传 输 层 
对 数据 流 有 一 定 的 调节 作用 ， 能 确保 其 完整 、 正 确 ， 并 按 顺序 递交 。 传 输 层 定义 了 两 个 主 
要 的 协议 : 传输 控制 协议 CTCP) 和 用 户 数 据 报 协议 (UDP)。TCP 协议 提供 的 是 一 种 可 靠 
的 、 面 向 连接 的 数据 传输 服务 ; 而 UDP 协议 提供 的 是 不 可 靠 的 、 无 连接 的 数据 报 传输 服务 。 
用 层 对 应 于 OSI 参考 模型 中 的 上 面 3 层 ,为 用 户 提供 所 需要 的 各 种 应 用 服务 ,如 FTP、 
Telnet、DNS 和 SMTP 等 。 当 应 用 层 程序 使 用 传输 层 提供 的 服务 时 ， 需 要 指定 一 个 端口 与 
传输 层 进行 交互 ， 端 口号 总 共有 65 535 个 ， 分 为 TCP 和 UDP 端口 ， 每 一 种 应 用 层 协议 一 
般 要 和 一 个 知名 的 端口 相对 应 ， 如 HTTP 协议 对 应 TCP80 号 端口 ，DNS 对 应 UDP53 号 端 
口 等 。 

在 UNIX 系统 中 , /etc/services 文件 中 包含 了 各 种 应 用 层 协议 及 对 应 的 端口 , 内 容 如 下 : 


# more /etc/services 


避 
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telnet ZXECD 

telnet 23/udp 

# 24 - private mail system 

lmtp 24/tcp # LMTP Mail Delivery 
lmtp 24/udp # LMTP Mail Delivery 
smtp 25/tcp mail 


smtp 25/udp mail 


可 见 ，TCP/IP 模型 的 应 用 层 协 议 非 常 多 ， 它 们 大 部 分 都 是 在 实际 应 用 中 广泛 使 用 的 
协议 。 
全 注意 : 虽然 在 /etc/services 文件 中 定义 的 应 用 层 协议 可 以 使 用 TCP 和 UDP 两 种 协议 端 
口 ， 但 在 实际 工作 中 ， 一 般 只 使 用 其 中 的 一 种 。 


4.2 ”网 络 接口 配置 的 基本 内 容 


在 网 络 接口 配置 中 ， 需 要 正确 地 配置 每 一 项 参数 ， 才 能 正常 地 使 用 网 络 服务 ， 或 者 为 
客户 机 提供 服务 。 在 具体 配置 网 络 接口 以 前 ， 本 节 先 介绍 儿 个 配置 参数 的 基本 知识 ， 包 括 
主机 名 、IP 地 址 、 子 网 掩 码 、 默 认 网 关 、 域 名 服务 器 和 默认 网 关 等 。 


4.2.1 主机 名 


主机 名 用 于 在 网 络 中 标识 一 台 计 算 机 的 名 称 ， 在 同一 子 网 中 ， 它 应 该 是 唯一 的 。 在 早 
期 的 UNIX 网 络 中 , 主机 名 是 赋予 计算 机 的 一 个 形象 的 名 称 标识 。 后 来 随 着 DNS 名 称 解 析 
的 广泛 使 用 ,计算 机 自己 设置 的 主机 名 基本 上 不 再 有 有 具体 的 作用 ,但 沿袭 过 去 的 习惯 ,UNIX 
还 保留 着 这 一 项 设置 。 


4.2.2 IP 地 址 


在 TCP/IP 模型 中 ，IP 协议 是 网 际 互 联 层 事实 上 的 协议 ， 它 解决 了 TCP/P 网 络 中 主机 
到 主机 的 通信 问题 。IP 协议 能 够 工作 的 前 提 是 在 TCP/IP 网 络 中 ， 每 一 台 主机 都 必须 要 有 
一 个 唯一 的 地 址 。 这 对 以 TCP/IP 为 核心 的 Internet 来 说 也 是 一 样 的 ,Internet 上 的 每 台 主 机 
都 有 一 个 唯一 的 IP 地 址 ，IP 协议 就 是 使 用 这 个 地 址 在 主机 之 间 传 递 信 息 ， 这 是 Internet 能 
够 运行 的 基础 。 

为 了 确保 IP 地 址 的 唯一 性 ， 专 门 有 一 个 称 为 国际 网 络 信息 中 心 (NIC) 的 机 构 管理 着 
Intemet 上 IP 地 址 , 所 有 的 用 户 都 必须 向 它 申请 才能 获得 合法 的 卫 地址。IP 协议 分 为 IPv4 
和 卫 v6 两 个 版 本 ， 它 们 之 间 的 一 个 主要 区 别 是 IPv4 的 地 址 是 32 位 的 ， 目 前 已 不 够 使 用 ， 
而 下 v6 的 地 址 是 48 位 的 ， 主 要 要 解决 IPv4 地 址 不 够 的 问题 。 


全 说 明 :IPv6 是 下 一 代 互 联网 使 用 的 卫 协 议 , 其 理论 上 可 用 的 地 址 数 是 IPv4 的 65 536 倍 ， 
按 现 有 人 口 计算 ， 平 均 每 人 可 以 分 到 约 4 万 个 。 


通常 所 指 的 卫 一 般 是 指 IPv4， 它 使 用 点 分 十 进 制 的 形式 来 表示 ， 如 : A.B.C.D。 其 中 
的 A、B、C 和 DD 都 是 0~255 之 间 的 数 。255 实际 上 是 十 六 进 制 的 FF， 它 是 一 个 字 节能 表 
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示 的 最 大 的 数 。 实 际 上 ， 计 算 机 是 根据 二 进 制 数 来 识别 IP 地 址 的 。 例 如 ， 下 面 的 32 位 二 
进 制 串 是 计算 机 中 存储 的 了 P 地 址 : 


11011010010010110001101000100011 


人 们 为 了 阅读 方便 ， 将 其 进行 分 组 ， 共 分 4 组 ， 每 组 8 位 : 


11011010 01001011 00011010 00100011 


然后 ， 将 8 位 的 二 进 制 数 转化 成 十 进 制 数 ， 并 用 点 号 隔 开 ， 于 是 便 成 了 下 面 的 形式 : 
ST 


与 记忆 32 位 的 二 进 制 串 相 比 ， 记 忆 218.75.26.35 显然 更 加 容易 。 

在 最 初 设计 互联 网 络 时 , 为 了 便于 寻 址 以 及 构造 层次 化 的 网 络 , 每 个 IP 地 址 都 包括 两 
个 标识 码 (ID)， 一 个 是 网 络 ID， 还 有 一 个 是 主机 ID。 并 且 规 定 ， 同 一 个 物理 网 络 上 的 所 
有 主机 都 使 用 同一 个 网 络 ID， 网 络 上 的 每 一 个 可 寻 址 的 主机 (包括 网 络 上 工作 站 、 服 务 器 
和 路 由 器 等 ) 都 有 一 个 主机 ID 与 其 对 应 。IP 地 址 根据 网 络 ID 的 不 同 可 分 为 5 种 类 型 : A 
类 地 址 、B 类 地 址 、C 类 地 址 、D 类 地 址 和 了 类 地 址 。 

1. A 类 地 址 


一 个 A 类 IP 地址 由 1 字 节 的 网 络 地 址 和 3 字 节 主机 地 址 组 成 ， 并 且 网 络 地 址 的 最 高 
位 必须 是 0。 另 外 , 全 是 1 的 网 络 地 址 ( 即 127) 保留 为 环 回 网 络 使 用 , 全 是 1 的 主机 地 址 
保留 为 广播 地 址 ， 不 能 分 配给 主机 使 用 。 因 此 ， 当 使 用 二 进 制 表 示 时 ， 最 小 的 A 类 IP 地 
址 和 最 大 的 A 类 IP 地 址 分 别 如 下 : 


最 小 IP 地 址 : 00000001 00000000 00000000 00000001 
最 大 IP 地 址 : Cl) 


如 果 用 点 分 十 进 制 表示 ， 则 地 址 范围 为 1.0.0.1 一 126.255.255.254。 可 用 的 A 类 网 络 有 
126 个 ， 每 个 网 络 能 容纳 1600 多 万 个 主机 ， 主 要 分 配给 大 型 机 构 使 用 。 另 外 ， 第 一 个 字 节 
为 10 的 IP 地 址 也 是 保留 地 址 ， 不 能 在 Internet 上 使 用 ， 只 能 在 内 网 使 用 。 


2. B 类 地 址 

一 个 B 类 了 IP 地址 由 2 个 字 节 的 网 络 地 址 和 2 个 字 节 的 主机 地 址 组 成 ， 网 络 地 址 的 最 
高 位 必须 是 10， 用 二 进 制 表示 的 最 小 和 最 大 的 B 类 IP 地 址 分 别 如 下 : 

最 小 IP 地 址 : 10000000 00000000 00000000 00000001 

最 大 IP 地 址 : 汪 人 企 开 下 汪 于 下 于 天 下 开 下 于 下 入 于 汪汪 下 于 下 汪 于 本 汪汪 生生 天 他 

如 果 用 点 分 十 进 制 表示 ， 则 地 址 范围 为 128.0.0.1 一 191.255.255.254。 因 此 ， 可 用 的 B 
类 网 络 有 16 384 个 ， 每 个 网 络 能 容纳 6 万 多 个 主机 。 另 外 ，B 类 地 址 中 的 172.16.0.0 一 
172.31.255.254 也 是 保留 地 址 ， 不 能 在 Intemet 上 使 用 。 

3. C 类 地 址 


一 个 C 类 耳 地 址 由 3 个 字 节 的 网 络 地 址 和 1 个 字 节 的 主机 地 址 组 成 ， 网 络 地 址 的 最 
高 位 必须 是 110， ee 
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最 小 IP 地 址 : 11000000 00000000 00000000 00000001 
最 大 IP 地 址 : 110T1111 T1111111 31111111 T1111110 


如 果 用 点 分 十 进 制 表示 ， 则 地 址 范围 为 192.0.0.1 一 223.255.255.254。 因 此 ， 可 用 的 C 
类 网 络 有 2 097 152 个 ， 每 个 网 络 能 容纳 254 台 主 机 ， 适 合 于 小 型 网 络 使 用 。 另 外 ，C 类 地 
址 中 的 192.168.0.0 一 192.168.255.254 也 是 保留 地 址 ， 不 能 在 Internet 上 使 用 。 


4. D 类 地 址 


D 类 地 址 没有 区 分 网 络 地 址 和 主机 地 址 ， 其 IP 地 址 的 第 一 个 字 节 以 1110 开始 ， 地 址 
范围 是 224.0.0.1 一 239.255.255.254。D 类 地 址 是 一 种 专门 保留 的 地 址 ， 并 不 指向 特定 的 网 
络 。 目 前 这 一 类 地 址 被 用 在 多 点 广播 (Multicast) 中 。 多 点 广播 地 址 用 来 一 次 寻 址 一 组 计 
算 机 ， 它 标识 的 是 共享 同一 协议 的 一 组 计算 机 。 


5. E 类 地 址 


E 类 地 址 是 实验 性 的 地 址 ， 也 没有 区 分 网 络 地 址 和 主机 地 址 ， 保 留 为 以 后 使 用 。 其 人 P 
地 址 的 第 一 个 字 节 以 11110 开始 ， 地 址 范围 是 240.0.0.1 一 248.255.255.254。 


全 说 明 : E 类 地 址 之 后 的 IP 地 址 目前 保留 未 用 。 


4.2.3 子 网 掩 码 


互联 网 是 由 许多 小 型 网 络 构成 的 ， 每 个 网 络 上 都 有 许多 主机 ， 这 样 便 构 成 了 一 个 有 层 
次 的 结构 。IP 地 址 在 设计 时 就 考虑 到 地 址 分 配 的 层次 特点 ， 将 每 个 IP 地 址 都 分 割 成 网 络 
号 和 主机 号 两 部 分 ， 以 便于 IP 地 址 的 寻 址 操作 。 此 时 ， 需 要 用 某 种 方法 指定 哪些 位 是 网 络 
号 ， 哪 些 是 主机 号 ， 这 个 任务 就 是 由 子 网 掩 码 来 承担 的 。 

子 网 掩 码 不 能 单独 存在 ， 它 必须 和 IP 地 址 一 起 使 用 。 与 IP 地 址 相同 ， 子 网 掩 码 的 长 
度 也 是 32 位 ， 左 边 的 若干 位 是 1， 右 边 的 若干 位 是 0。 在 IP 地址 中 , 与 子 网 扒 码 1 对 应 的 
那些 位 组 成 了 网 络 号 ， 而 与 子 网 拖 码 0 对 应 的 那些 位 组 成 了 主机 号 。 例 如 ， 
192.168.75.109/255.255.248.0 转换 成 二 进 制 表示 后 ， 如 下 所 示 。 

11000000 10101000 01001011 01101101 

11111111 11111111 11111000 00000000 

在 IP 地 址 中 ， 与 子 网 抢 码 位 1 对 应 的 位 组 成 了 以 下 网 络 号 : 

11000000 10101000 01001000 

即 网 络 号 是 192.168.72， 而 与 子 网 抢 码 位 0 对 应 的 位 组 成 了 以 下 主机 号 : 

00000000 00000000 00000011 01101101 

即 主机 号 是 3.109。 通常 , 将 他 地 址 的 主机 号 全 改 为 0, 则 可 以 得 到 IP 地 址 的 网 络 号 ; 
而 把 网 络 号 全 改 为 0， 则 得 到 IP 地 址 的 主机 号 。 

子 网 掩 码 的 作用 就 是 获取 主机 IP 的 网 络 地 址 信息 , 用 于 区 别 主机 通信 的 不 同情 况 ,由 
此 选择 不 同 路 由 。IPv4 协议 为 A、B、C 类 地 址 分 别 规定 了 固定 位 数 的 网 络 号 和 主机 号 ， 
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其 中 ，A 类 地 址 的 默认 子 网 掩 码 为 255.0.0.0; B 类 地 址 的 默认 子 网 掩 码 为 255.255.0.0; C 
类 地 址 的 默认 子 网 掩 码 为 255.255.255.0。 


全 注意 ; 当 用 户 配置 自己 的 内 网 时 ， 可 以 根据 实际 情况 规定 子 网 掩 码 的 位 数 。 


4.2.4 默认 网 关 地 址 


主机 的 耳 地 址 设置 完成 后 ， 就 可 以 和 同一 个 网 段 中 的 其 他 主机 进行 通信 了 , 但 此 时 还 
不 能 与 其 他 网 段 中 的 主机 进行 通信 。 为 了 能 够 与 外 部 网 络 进行 通信 ， 需 要 设置 正确 的 网 关 
地 址 。 在 网 络 设置 中 ， 网 关 通 常 指 的 就 是 路 由 器 。 当 主机 所 发 送 的 数据 包 其 目的 卫 不 是 与 
自己 位 于 同一 网 段 时 ， 它 就 需要 把 该 数据 包 发 送 给 路 由 器 ， 然 后 再 由 路 由 器 转发 给 目的 
主机 。 

提供 路 由 功能 的 网 关 一 般 至 少 要 有 两 个 网 络 接口 ， 一 个 与 内 部 局 域 网 连接 ， 另 一 个 与 
外 网 进行 连接 。 内 网 的 主机 要 使 用 这 个 网 关 时 ， 需 要 指定 网 关内 网 接口 的 卫 地 址 。 此 时 ， 
对 于 局 域 网 中 的 主机 来 说 ， 发 送 给 外 网 的 数据 包 实际 上 都 是 发 送 给 这 个 网 关 。 

有 时 候 ， 内 网 可 以 有 多 个 网 关 与 外 网 有 连接 。 此 时 ， 内 网 的 主机 访问 外 网 时 ， 就 可 以 
有 多 种 选择 。 内 网 的 主机 可 以 为 不 同 的 目的 地 指定 不 同 的 网 关 ， 但 不 管 怎样 ， 必 须要 设置 
一 个 默认 的 网 关 ， 以 便 数据 包 与 其 他 网 关 的 目的 地 不 匹配 时 ， 可 以 使 用 默认 网 关 。 


全 注意 : 在 很 多 场合 ， 网 关 和 路 由 器 是 指 同一 种 设备 ， 但 从 严格 意义 来 讲 ， 网 关 应 该 是 指 
工作 在 应 用 层 的 转发 设备 ， 而 路 由 器 是 工作 在 网 络 层 的 转发 设备 。 


4.2.5 域名 服务 器 〈DNS ) 


仅仅 正确 设置 了 主机 IP 地 址 和 默认 网 关 ， 只 能 保证 用 户 能 通过 IP 地 址 与 其 他 主机 进 
行 通信 。 而 对 于 大 多 数 的 应 用 来 说 ， 标 识 目 的 主机 使 用 的 是 域名 ， 而 不 是 IP 地 址 。 由 于 计 
算 机 不 能 理解 域名 ， 只 认识 人 P 地 址 ， 因 此 需要 把 域名 解析 为 IP 地 址 ， 以 便 计算 机 使 用 。 

Internet 的 域名 数量 非常 巨大 , 而 且 是 动态 变化 的 ， 因 此 不 可 能 由 普通 的 计算 机 自己 来 
解析 ， 需 要 通过 专门 的 域名 服务 器 进行 解析 。 为 此 ， 在 网 络 设置 中 ， 还 需要 指定 域名 服务 
器 的 卫 地 址 ， 以 便 计 算 机 接受 了 用 户 输入 的 域名 后 ， 再 通过 指定 的 域名 服务 器 解析 成 卫 
地 址 。 


名 注意: 由 于 域名 解析 是 如 此 的 重要 ， 一 般 操作 系统 都 可 以 指定 多 台 域 名 服务 器 的 IP 地 
址 ， 以 便 在 主 域名 服务 器 不 能 使 用 时 ， 能 马上 使 用 后 备 域名 服务 器 

Internet 上 可 以 提供 域名 解析 服务 的 域名 服务 器 非常 多 , 为 了 加 快 域名 解析 的 速度 , 一 

般 要 指定 与 本 机 连接 速度 最 快 的 域名 服务 器 。 通 常 ， 为 本 地 局 域 网 提供 Internet 接 入 服务 
的 ISP 服务 商都 有 自己 的 域名 服务 器 ， 它 们 与 自己 的 连接 速度 应 该 是 最 快 的 。 


4.2.6 ”DHCP 服务 器 


网 络 中 的 每 一 台 计 算 机 都 必须 拥有 唯一 的 IP 地 址 。 主 机 IP 地 址 的 设置 可 以 由 用 户 手 
进行 , 此 时 也 称 为 静态 地 址 。 为 了 保证 整个 网 络 的 正常 运行 , IP 地 址 的 设置 必须 要 正确 ， 


弄 


这 
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因此 , 用 户 一 般 要 咨询 网 络 管理 员 。 此 外 ， 网 络 掩 码 、 默 认 网 关 及 DNS 服务 器 等 也 都 必须 
要 正确 设置 ， 才 能 保证 网 络 的 正常 使 用 ， 这 些 参数 也 需要 向 网 络 管理 员 咨 询 。 
如 果 网 络 上 的 用 户 众多 , 则 用 户 的 咨询 将 会 给 网 络 管理 员 造 成 很 大 的 负担 。 更 重要 的 是 
如 果 网 络 管理 员 改 变 了 网 络 配置 ， 上 述 的 某 些 参 数 如 果 发 生 了 变化 ， 则 一 个 个 通知 用 户 修改 
的 工作 量 也 将 非常 大 。 还 有 ,Intemet 上 的 IP 地 址 非常 紧张 ,如果 分 配给 用 户 的 是 公 网 地 址 ， 
则 当 用 户 没有 上 网 时 ， 这 个 地 址 将 浪费 。 为 了 解决 这 个 问题 ， 出 现 了 动态 地 址 分 配 。 

动态 地 址 分 配 是 指 当 计算 机 每 次 接 入 网 络 时 ， 自 动 从 网 络 中 的 某 一 台 服 务 器 获取 卫 
地 址 及 其 他 网 络 配置 参数 。 当 退出 网 络 时 ， 再 归还 所 使 用 的 耳 地 址 ， 以 便 再 分 配给 其 他 计 
算 机 使 用 。 承 担 这 一 功能 的 服务 器 也 称 为 DHCP 服务 器 ， 它 可 以 统一 管理 网 络 中 IP 地 址 
资源 的 分 配 和 使 用 ， 同 时 也 分 配 其 他 的 网 络 参数 。 

有 了 DHCP 服务 器 后 ， 可 以 给 用 户 和 网 络 管理 员 带 来 很 大 的 方便 。 用 户 无 需 配 置 计算 
机 的 IP 地 址 及 其 他 一 些 网 络 参 数 ， 开 机 后 即 能 上 网 。 网 络 管理 员 平 时 只 需 维 护 好 DHCP 
服务 器 即 可 ， 无 需 面 对 很 多 用 户 关于 网 络 参 数 配置 的 咨询 。 如 果 改 变 了 网 络 配置 ， 需 要 用 
户 做 相应 改变 的 ， 只 需 修 改 DHCP 服务 器 的 配置 即 可 。 还 有 ， 公 网 的 IP 地 址 也 能 得 到 充 
分 的 利用 ， 因 为 动态 分 配 后 ，IP 地 址 将 不 和 某 一 用 户 或 计算 机 绑 定 ， 谁 需要 就 分 配给 谁 。 

动态 地 址 分 配 也 给 笔记 本 电脑 的 上 网 带 来 了 很 大 的 方便 ， 用 户 改 变 笔记 本 电脑 位 置 
时 ， 往 往 网 络 配置 参数 要 发 生 改 变 。 当 采用 动态 分 配 时 ， 用 户 将 无 需 关 心 这 些 ， 笔 记 本 电 
脑 插 入 网 络 端口 后 即 可 以 获得 正确 的 网 络 配置 参数 。 
不 像 默认 网 关 和 域名 服务 器 , DHCP 服务 器 本 身 的 IP 地 址 是 不 需要 用 户 设置 的 ,用 户 
只 需 在 网 络 中 设置 “动态 获得 IP 地 址 ”等 参数 。 此 时 ， 计 算 机 接 入 网 络 后 ， 会 自动 向 网 络 
发 送 数据 包 ， 与 DHCP 服务 器 取得 联系 ， 获 取 卫 地址 和 其 他 网 络 配置 参数 。 


全 说 明 : DHCP 协议 的 前 身 是 BOOTP 协议 ， 有 些 操作 系统 也 允许 通过 BOOTP 协议 获得 
IP 地 址 。 


区 


4.3 配置 以 太 网 连接 


以 太 网 是 目前 应 用 最 为 广泛 的 计算 机 网 络 ， 它 是 一 种 局 域 网 标准 ， 一 般 用 户 平时 接触 
到 的 网 络 大 部 分 都 属于 以 太 网 。 另 外 ， 配 置 与 Internet 的 宽带 连接 时 ， 一 般 也 要 通过 以 太 
网 。 因 此 ,有 关 以 太 网 的 连接 配置 是 网 络 配置 的 基础 。 本 节 将 介绍 有 关 以 太 网 连接 的 配置 ， 
包括 驱动 程序 的 安装 、 网 络 参数 配置 方法 以 及 使 用 脚本 配置 网 络 参数 等 内 容 。 


4.3.1 添加 以 太 网 连接 


驱动 程序 是 计算 机 硬件 与 操作 系统 之 间 进行 通信 时 所 需要 的 一 层 软 件 媒介 ， 除 非 操作 
系统 内 核 支持 ， 所 有 的 硬件 都 必须 要 安装 成 功 驱 动 程序 后 才能 正常 使 用 。 网 卡 也 是 一 样 
在 使 用 以 前 必须 要 先 安装 驱动 程序 。 

现代 的 操作 系统 一 般 都 能 在 安装 或 启动 过 程 中 检测 到 即 插 即 用 硬件 的 存在 并 自动 安 
装 驱动 程序 , 但 如 果 由 于 某 种 原因 没有 成 功 安装 , 将 需要 手动 进行 安装 。 下 面 介绍 在 RHEL 
6 中 配置 以 太 网 连接 的 步骤 。 
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(1) 在 桌面 上 选择 “系统 ”|“ 首 选项 ”|“ 网 络 连接 ”命令 ， 将 出 现 如 图 4-3 所 示 的 对 
话 框 。 在 图 中 ， 列 出 了 目前 已 经 安装 的 网 络 接口 。 图 中 所 示 的 是 一 个 名 为 eth0 的 以 太 网 网 
卡 接口 ， 在 终端 使 用 ifup eth0 命令 将 eth0 网 卡 激活 ， 便 可 正常 工作 。 

(2) 为 了 添加 新 的 以 太 网 连接 ， 可 以 在 图 4-3 中 单 击 右 侧 栏 中 的 “添加 ”按钮 ， 将 出 
现 如 图 4-4 所 示 的 对 话 框 。 该 对 话 框 的 工具 栏 上 列 出 了 需要 添加 的 设备 类 型 。 


正在 编辑 有 线 连接 1 


ey | 


对 自动 连接 (A) 
圳 称 最 后 使 用 的 | “添加 (A) 
有 绪 | 802.1X 安全 性 IPV4 设 置 IPv6 设置 
sseuo [| 
meano:[C 
m 项 站 
NS 口 对 所 和 用户 可用 。 | 了 iW(C) |[ 应 用 | 


图 4-3 网络 配置 对 话 框 图 4-4 添加 新 设备 对 话 框 
(3) 在 图 4-4 中 ， 填 写 “ 连 接 名 称 ” 文 本 框 ， 这 里 使 用 默认 的 名 称 为 “有 线 连接 1”。 
然后 ， 单 击 “ 应 用 ”按钮 ， 将 出 现 如 图 4-5 所 示 的 对 话 框 。 显 示 出 了 所 添加 的 网 络 设备 。 
(4) 在 该 对 话 框 中 可 以 选择 列 出 的 某 一 网 卡 ， 再 单 击 “ 编 辑 ” 按 钮 ， 将 出 现 如 图 4-6 
所 示 的 对 话 框 。 此 时 ， 可 以 对 该 网 卡 进行 有 关 网 络 参 数 方面 的 设置 ， 具 体 方法 见 4.3.2 节 。 


连 授 名 称 (| 有 线 连 接 1 | 
加 自动 连接 (A) 


有 线 802.1X 安全 性 IPv4 设置 IPv6 设置 


方法 (M) : | 自动 (DHCP) ?] 
地 址 
加 有 结 加 无 千年 移 翅 克利 @ VPN 禹 DSL 
名 称 最 后 使 用 89 | 评 加 0(A) | 
System ethO 4 为 钟 以 前 | 二 -一 
了 ET | 
[3 
DHCP 安 户 员 ID: | 
网 需要 IPv4 地 址 完成 这 个 连接 
| 路由 (BR) 
关闭 (©) 口 对 所 有 用 户 可 用 ic) || 应 用 | 


图 4-5 本 机 的 网 络 设备 图 4-6 配置 网 络 参数 
(5) 如 果 RHEL6 没有 检测 到 网 卡 ， 将 需要 进行 手动 设置 硬件 参数 ， 方 法 是 在 图 4-5 中 
选择 刚才 添加 的 “有 限 连 接 1” 选 项 ， 再 单 击 “ 编 辑 ” 按 钮 ， 将 出 现 如 图 4-6 所 示 的 对 话 框 
全 注意 : 一 般 情 Se RHEL6 都 能 检测 到 网 卡 的 存在 。 如 果菜 种 常见 的 主流 网 卡 不 能 
检测 到 ， 会 是 网 卡 的 硬件 安装 有 问题 。 


以 上 是 有 关 以 太 网 连接 的 创建 ，4.3.2 节 将 介绍 如 何 配置 以 太 网 连接 的 网 络 参 数 。 
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4.3.2 配置 网 络 参数 


以 太 网 连接 成 功 创建 后 ， 还 需要 对 连接 进行 网 络 参 数 的 配置 ，Linux 网 络 才能 正常 地 
工作 。 有 关 设置 网 络 参 数 的 图 形 界面 有 很 多 ， 下 面 看 一 下 具体 内 容 与 操作 方法 。 

(1) 最 重要 的 参数 是 与 人 P 地 址 有 关 的 网 络 设置 ， 首 先 要 确定 的 是 卫 地 址 是 动态 获得 
的 ， 还 是 由 管理 员 分 配 后 进行 静态 设置 。 

在 图 4-6 中 ， 如 果 选 择 了 “自动 (DHCP)” 单 选 按钮 ， 需 要 指定 协议 类 型 ， 一 般 都 是 
使 用 默认 的 DHCP 协议 。 然 后 可 以 指定 DHCP 服务 器 的 IP 地 址 ， 但 一 般 情况 下 是 无 需 指 
定 的 ， 因为 计算 机 启动 时 会 自动 与 DHCP 服务 器 取得 联系 。 还 有 一 个 选项 是 是 否 在 获得 全 
地 址 的 同时 也 获取 DNS 服务 器 的 IP 地 址 ， 一 般 情况 下 也 是 保留 默认 的 设置 ， 即 自动 从 
DHCP 服务 器 处 获得 DNS 信息 。 

如 果 选 择 “ 手 动 ” 单 选 按钮 ， 则 需要 用 户 手动 指定 IP 地 址 、 子 网 抢 码 和 默认 网 关 地 址 
等 内 容 。 此 外 ， 如 果 选 择 “ 设 置 MTU 值 ” 复 选 框 ， 还 可 以 手动 指定 MTU 值 。MTU 是 指 
在 以 太 网 络 上 传送 的 最 大 数据 帧 ， 默 认为 1 500。 

该 选项 大 部 分 情况 下 无 需 手 动 指 定 。 外 正在 编辑 System eth0 的 IPv4 路 由 


(2) 如 果 在 图 4-3 中 单 击 “ 编 辑 ” 按钮 ,将 可 | 六 一 
以 对 所 选 定 连接 的 网 络 参数 进行 修改 ， 出 现 如 
图 4-6 所 示 的 对 话 框 。 

(3) 如 果 在 图 4-6 中 选择 “路 由 ”标签 ， 将 出 | Dg Lawn) 
现 管理 计算 机 静态 路 由 表 的 选项 卡 。 如 果 再 单 击 NE] 


“添加 ”按钮 ， 将 出 现 如 图 4-7 所 示 的 对 话 框 。 此 
时 可 以 输入 目的 网 络 的 地 址 和 子 网 掩 码 , 还 有 网 关 
等 内 容 ， 单 击 “ 确 定 ” 按 钮 后 即 可 添加 一 条 新 路 由 。 


全 说 明 : 一 般 情况 下 ， 对 于 简单 网 络 中 的 普通 主机 来 说 ， 无 需 手 动 添加 路 由 。 


(4) 还 有 一 项 有 关 网 卡 的 设置 可 以 通过 在 图 4-6 中 选择 “有 线 ” 标 签 进行 ， 此 时 将 出 
现 如 图 4-8 所 示 的 对 话 框 。 在 图 4-8 中 ， 可 以 选择 某 一 网 卡 硬件 ， 然 后 可 以 设置 设备 MAC 
地 址 、 克 隆 MAC 地 址 或 者 MTU 值 。 图 4-8 中 列 出 的 即 为 该 网 卡 的 固有 MAC 地 址 。 


外 说 明 : 设置 设备 MAC 地 址 是 每 一 块 以 太 网 卡 固 有 的 ， 而 且 是 全 球 唯一 的 ， 这 些 参 数 一 
般 只 在 特殊 场合 下 才 作 修改 。 


(5) 如 果 是 手动 指定 IP 地址 或 者 自动 获取 卫 地址 时 没有 同时 获取 DNS 信息 ， 需 要 手 
动 指定 DNS 服务 器 的 IP 地 址 ,此 时 可 以 在 图 4-6 中 的 “方法 (MD) ”文本 框 选 项 栏 选 择 “ 手 
动 ” 命 令 ， 就 可 以 为 所 选中 的 连接 设置 DNS 服务 器 信息 ， 出 现 如 图 4-9 所 示 的 对 话 框 。 

(6) 在 图 4-9 中 ， 可 以 设置 两 个 DNS 域名 解析 服务 器 。 主 要 目的 是 当 DNS 服务 器 失 
效 时 ， 可 以 设置 一 个 DNS 搜寻 路 径 ， 表 示 如 果 Linux 只 收 到 一 个 主机 名 ， 将 在 指定 的 域 中 
解析 该 主机 。 


全 说 明 : 例如 ， 指 定 了 DNS 搜寻 路 径 为 abc.cn， 以 后 执行 “ping xyz” 命 令 时 ， 实 际 上 
是 执行 “ping xyz.abc.cn” 命 令 。 


图 4-7 管理 主机 路 由 表 
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正在 编辑 System etho 
连接 名 称 (|System ethO 

回 自动 连接 (A) 
有 线 


802.1x 安全 性 IPv4 设置 IPv6 设 置 


Linux 网 络 接口 配置 


正在 编辑 System etho 


连接 名 称 (1) |System eth0 
名 自动 连接 (A) 
有 有 线 | 802.1x 安全 性 | IPv4 设置 | IPv6 设置 


5t: [和 到 2| 
设备 MAC 地 址 (D) ; [DEFEEEEEEDR | 
一 一 一 一 地 址 
WE MACHbtG: [ | i 十 二 
Mu; [ 迄 动 ”国字 凶 
和 Mf(D) 
DNS 服务 器 : 和 
搜索 域 (5) : [ 
网 需要 IPv4 地 址 完成 这 个 连接 
路 由 ...(R) 


团 对 所 有 用 户 可 用 取消 (C) 应 用 … 


加 取消 (C) 


图 4-8 ”以 太 网 连接 的 硬件 设置 图 4-9 连接 DNS 服务 器 设置 


且说 明 : 这 些 设置 实际 上 要 保存 在 /etc/hosts 文件 中 ， 默 认 情 况 下 ， 本 地 解析 的 主机 名 要 优 
先 于 DNS 解析 。 


4.3.3 配置 无 线 以 太 网 连接 


如 果 计算 机 里 安装 了 无 线 网 卡 ， 就 可 以 配置 一 个 无 线 以 太 网 连接 ， 以 便 能 利用 无 线 网 
卡 上 网 。 配 置 无 线 网 卡 实际 上 与 配置 普通 的 以 太 网 卡 是 差不多 的 ， 步 又 如 下 所 示 。 

(1) 在 图 4-3 所 示 的 “网 络 连 接 ” 对 话 框 工具 栏 中 选择 “无 线 ” 选 项 ， 然 后 单 击 “ 添 
加 ”按钮 ， 弹 出 如 图 4-10 所 示 的 对 话 框 。 这 时 填写 相应 的 文本 框 信息 ， 然 后 单 击 “ 应 用 ” 
按钮 ， 将 出 现 如 图 4-11 所 示 的 对 话 框 。 


正在 编辑 无 线 连 接 1 


连接 名 称 (| 无 线 连 授 1 
网 自动 连接 (A) 


Fo— 
无 线 | 无 线 安全 性 | IPv4 设置 IPv6 设置 


SSID: | 
模式 (0) : | 架构 $ 
BSSID: | 
融 有 线 画 无 线 窒 移动 页 带 @ VPN 夯 DSL 

设备 MAC 地 址 (D) : 
ma Wend: Cr Em Cr 
MTU: [ 冯 :| ss EE 

| 了 | 
1 RAC) _ (©) 

图 4-10 选择 创建 无 线 连接 图 4-11 成 功 创建 了 无 线 连 接 
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(2) 如 果 系 统 检测 到 了 无 线 网 卡 的 存在 ， 将 在 图 4-11 的 列表 框 中 列 出 来 。 此 时 ， 选 中 
所 列 的 无 线 网 卡 ， 单 击 “ 编 辑 ” 按 钮 即 可 出 现 如 图 4-10 所 示 的 对 话 框 。 


名 注意: 如 果 系 统 没有 检测 到 无 线 网 卡 ， 可 以 在 图 4-11 中 单 击 右 侧 工具 栏 中 的 “添加 ” 
按钮 ， 添 加 一 个 无 线 连接 ， 添 加 成 功 后 ， 在 图 4-11 中 会 出 现 一 个 自己 添加 的 无 
线 连 接 。 这 时 选择 “新 添加 的 无 线 连 接 ” 选 项 ， 再 单 击 “ 编 辑 ” 按 钮 ， 此 时 会 先 
出 现 如 图 4-10 所 示 的 对 话 框 。 如 果 选 择 有 线 中 的 “有 线 连接 ”后 单 击 “编辑 ” 
按钮 ， 才 会 出 现 如 图 4-8 所 示 的 对 话 框 。 


(3) 在 图 4-10 中 ， 可 以 指定 无 线 网 卡 的 工作 模式 ， 可 以 有 Ad-Hoc 和 “架构 ”两 种 模 
式 可 以 选择 。 一 般 选 择 默认 选项 ， 表 示 通 过 协商 确定 使 用 哪 种 模式 。“MTU” 也 可 以 选择 
“自动 ”选项 ， 以 便 与 任何 无 线 AP 连接 。 

(4) 无 线 网 卡 的 参数 设置 完成 后 ， 可 以 单 击 “ 应 用 ”按钮 ， 将 出 现 如 图 4-11 所 示 的 对 
话 框 。 


4.4 配置 拨号 连接 


配置 好 以 太 网 连接 后 ， 一 般 就 可 以 连 入 本 地 的 局 域 网 络 ， 但 此 时 并 不 能 保证 计算 机 能 
与 Internet 连接 。 很 多 时 候 ， 还 需要 在 以 太 网 连接 的 基础 上 ， 再 配置 其 他 类 型 的 连接 ， 才 
能 与 Internet 进行 通信 。 本 节 主 要 讲述 有 关 拨 号 连接 的 设置 ， 包 括 通过 ADSL、ISDN 等 拨 
号 方式 连 入 Internet。 


4.4.1 通过 xDSL 拨号 上 网 


xDSL (Digital Subscriber Line) 是 一 种 利用 电话 线路 实现 数字 信和 号 高 速 传输 的 技术 。 
它 的 种 类 很 多 ， 包 括 ADSL、VDSL、SDSL 等 技术 ， 其 中 用 得 最 多 的 是 ADSL。 当 用 户 使 
用 ADSL 拨号 上 网 时 ， 计 算 机 上 需要 连接 一 个 ADSL Modem， 同 时 还 需要 一 个 用 户 账号 ， 
这 些 可 以 由 ISP 提供 。 下 面 介绍 在 RHEL 6 中 配置 ADSL 上 网 的 方法 。 

(1) 在 如 图 4-3 所 示 的 网 络 配置 对 话 框 中 单 击 工具 栏 中 的 DSL 选项 , 然后 单 击 “ 添 加 ” 
按钮 ， 如 图 4-12 所 示 。 

(2) 在 图 4-12 中 单 击 “ 添 加 ”按钮 后 ， 将 出 现 如 图 4-13 所 示 对 话 框 ， 在 该 对 话 框 中 ， 
要 求 配置 以 太 网 设备 、 连 接 名 称 和 用 户 账 号 等 DSL 连接 参数 。 填写 完 该 对 话 框 中 , 单 击 “ 应 
用 ”按钮 。 


全 说 明 : 由 于 DSL 是 在 以 太 网 基础 上 工作 的 ， 因 此 要 求 至 少 要 先 配 置 一 个 以 太 网 连接 。 
如 果 有 多 个 以 太 网 连接 ， 应 该 选择 与 ADSL Modem 进行 物理 连接 的 那 块 网 卡 所 
对 应 的 连接 。 提 供 商 名 称 可 以 是 任意 的 ， 实 际 上 是 该 DSL 连接 的 一 个 名 称 。 登 
录 名 和 口令 需要 从 ISP 处 获得 。 


(3) 当 DSL 连接 参数 设置 完成 后 ， 可 以 单 击 “ 应 用 ”按钮 ， 将 回 到 如 图 4-3 所 示 的 网 
络 配置 主 对 话 框 ， 此 时 将 增加 一 个 xDSL 类 型 的 连接 。 
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正在 编辑 DSL 连接 1 


连接 名 称 (D |DSL 连接 1 


口 自动 连接 (A) 
DSL 有 线 PPP 设置 1Pv4 设 轩 


Ra: 
服务 (S) : | 
密码 (P): | ] 


口 显示 密码 (W) 
| _ mM(©) 口 对 所 有 用 户 可 用 [RNC) ] | 应 用 
图 4-12 配置 xDSL 连接 图 4-13 DSL 连接 参数 设置 


4.4.2 ”使 用 移动 宽带 拨号 上 网 


移动 宽带 也 称 为 综合 业务 数字 网 ， 它 是 一 个 数字 电话 网 络 国际 标准 ， 是 一 种 典型 的 电 
路 交换 网 络 系统 ， 能 支持 包括 数据 、 文 字 、 语 音 和 图 像 在 内 的 各 种 综合 业务 。 移 动 宽带 使 
用 电话 载波 线路 进行 拨号 连接 ， 在 程控 数字 交换 机 内 采用 了 数字 交换 技术 。 使 用 移动 宽带 
拨号 上 网 时 , 需要 设置 一 个 移动 宽带 连接 , 同时 还 需要 一 个 用 户 账号 。 下 面 介绍 在 RHEL 6 


中 配置 移动 宽带 拨号 上 网 的 方法 。 


(1) 在 如 图 4-3 所 示 的 网 络 配置 对 话 框 中 选择 “移动 宽带 ”选项 ， 然 后 单 击 “ 添 加 ” 


按钮 ， 将 出 现 如 图 4-14 所 示 的 对 话 框 。 


新 移动 席 带 连接 


设置 一 个 移动 宽带 连接 


此 赎 竹 程序 可 奋 助 您 简单 地 设置 一 个 到 旦 富 (3G) 由 络 的 移动 宽 情 连接 * 


您 将 需要 以 下 信息 : 


“ 您 的 宽 甸 提供 商 名 称 
。 作 的 宽带 付 强 计划 名 称 
“* 企 某 些 情况 下 ) 入 的 宽带 付费 计划 APN (访问 点 名 称 ) 


为 此 徐 动 宽 将 设 着 创建 一 个 连接 (T) : 


mm Ca ] 
图 4-14 选择 ISDN 适配器 


(2) 在 该 界面 单 击 “ 前 进 ” 按 钮 ， 将 出 现 如 图 4-15 所 示 对 话 框 ， 要 求 选择 提 
地 区 。 


* 商 的 
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锡 


新 称 动 太 带 过 x 
选择 您 的 提供 商 的 国家 

国家 /好 区 3 天 : 

国家 /好 区 


[ce | 
Colombia 目 
Congo (Dem. Rep,) 
Congo (Rep.) 
Costa Rica 
Cote d'Ivoire 
Croatia 
Cyprus 
Czech Republic 
Denmark 


WNC) || fia(B) en 
图 4-15 国家 /地 区 选择 界面 


(3) 在 该 界面 设置 完成 后 ， 单 击 “ 前 进 ” 按 钮 ， 将 出 现 如 图 4-16 所 示 的 对 话 框 。 在 该 
对 话 框 中 ， 提 供 了 3 项 提供 商 。 


全 说 明 : 由 于 移动 宽带 也 是 使 用 电话 线路 进行 拨号 连接 的 ， 开 始 传送 的 也 是 模拟 信号 ， 因 
此 需要 一 个 电话 号 码 进行 拨号 。 


(4) 在 图 4-16 中 输入 所 需 内 容 后 ， 单 击 “前 进 ” 按 钮 ， 将 出 现 如 图 4-17 所 示 对 话 框 ， 
要 求 配置 “移动 宽带 ”连接 的 网 络 参 数 。 与 以 太 网 连接 一 样 ， 可 以 是 自动 获取 IP 地 址 及 其 
他 网 络 参数 ， 也 可 以 手动 设置 静态 参数 。 大 部 分 的 移动 宽带 都 要 求 设置 成 自动 获取 。 


可 ETTTITTTTTTTTTTE 


连接 名 称 仙 [China Mobile 财 认 人 1 | 
口 自动 连接 (A) 


移动 更 特 | PPP 设置 | IPv4 设 轩 
Es 新 移动 宽带 连接 x 基本 
编 3M): ”[ 因 如 
选择 您 的 提供 商 
用 户 名 (U) : [guest 
加 从 一个 列 旨 中 选择 你 的 提供 商 (L) : 
ED [ee 
提供 商 
sm 
China Telecom ApN : Fe 更 丙 .。 
China Unicom = 
Fa ID (E) 
类 型 [T) : 。 “| 任意 $ 
口 找 不 到 我 的 提供 商 ， 大友 手动 输入 (M) : 网 如 果 主 网 络 不 可 用 则 多 许 温 游 
提供 商 : | PIN : CD | 
口 显示 密码 (W) 
NGC || FE || ms) | 口 对 所 有 用 户 可 用 取消 CC) |[ 应 用 | 
图 4-16 选择 服务 提供 商 


图 4-17 设置 移动 宽带 连接 的 网 络 参数 


(5) 单 击 “应 用 ”按钮 并 确认 后 ， 将 回 到 如 图 4-3 所 示 的 网 络 配置 主 对 话 框 。 此 时 将 
出 现 一 个 移动 宽带 类 型 的 连接 ， 其 设备 名 称 是 ippp0， 如 图 4-18 所 示 。 
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Es] 网 络 连 接 


国有 洁 | 贺 无 千 | 让 移动 现 届 | 加 VPN | 副 DSL 
最 后 使 用 的 | 到 WD(A) 


内 


3 
ppp0o 


= 
Ea 


关闭 (C) | 


图 4-18 创建 好 的 移动 宽带 连接 


4.5 小 结 


Linux 系统 安装 完成 后 ， 为 了 能 为 各 种 网 络 服务 提供 运行 环境 ， 网 络 的 配置 非常 重要 ， 
只 有 正确 地 配置 了 网 络 参数 ， 主 机 才能 与 外 界 通 信 。 本 章 首先 讲述 了 TCP/IP 网 络 的 一 些 
理论 知识 ， 包 括 网 络 协议 、ISO/OSI 模型 和 TCP/IP 模型 等 。 然 后 介绍 了 Linux 系统 中 需要 
设置 的 网 络 参数 ， 如 IP 地 址 、 子 网 掩 码 等 。 最 后 介绍 了 在 图 形 环境 下 如 何 配置 Linux 的 各 


种 网 络 连接 。 


。7T1。 
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服务 器 能 正常 地 为 外 界 提供 网 络 服务 的 前 提 是 网 络 能 正常 地 工作 ， 因 此 在 架设 服务 器 
之 前 ， 首 先 要 掌握 一 些 Linux 网 络 管理 的 基础 知识 ， 这 样 才 有 可 能 解决 服务 器 架设 过 程 中 
出 现 的 网 络 问题 。 本 章 主 要 介绍 Linux 网 络 设置 、 网 络 配置 文件 和 网 络 故障 诊断 等 内 容 。 


5.1 Linux 网 络 设置 命令 


虽然 可 以 通过 Linux 的 图 形 界 面 完成 大 多 数 的 网 络 设置 工作 ， 但 在 解决 一 些 网 络 故障 
时 ， 最 常见 的 还 是 采用 命令 方式 。 而 且 在 一 些 无 法 使 用 图 形 界 面 的 场合 下 ， 如 Telnet 远程 
登录 等 ， 命 令 方式 更 是 不 可 或 缺 。 本 节 介 绍 儿 条 Linux 下 常用 的 网 络 配置 和 故障 诊断 命令 ， 


包括 ifconfig、ping、traceroute、arp 等 。 
5.1.1 网 络 接口 配置 命令 一 一 ifconfig 


在 4.3 节 和 4.4 节 中 ， 已 经 用 图 形 界面 方式 配置 了 以 太 网 及 各 种 拨号 连接 。 实 际 上 ， 
网 络 接口 也 可 以 使 用 ifconfig 命令 进行 配置 。ifconfig 具有 两 种 功能 ， 一 种 是 显示 网 络 接口 
的 信息 ; 还 有 一 种 是 设置 网 络 接口 的 参数 。 有 关 显 示 网 络 接口 信息 的 命令 格式 如 下 : 


ifconfig [-a] [-s] [interfacel] 


其 中 ，interface 表示 接口 的 名 称 ， 如 eth0、lo 等 。 如 果 指 定 了 接口 的 名 称 ， 则 只 列 出 
该 接口 的 信息 ; 否则 ， 列 出 所 有 活动 接口 的 信息 。-a 选项 表示 列 出 所 有 接口 ， 包 括 活动 和 
非 活动 的 。-s 选项 表示 列 出 的 是 接口 的 简要 人 信息。 例如， 下面 的 命令 列 出 了 所 有 活动 接口 
的 信息 。 
# ifconfig 
eth0 Link encap:Ethernet HWaddr 00:0C:29:9E:C5:AA 
inet addr:10.10.1.29 Bcast:s10.10.1.255 Mask:255.255.255.0 
inet6 addr: fe80::20c:29ff:fe9e:c5aa/64 Scope:Link 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 
RX packets:50732 errors:0 dropped:0 overruns:0 frame:0 
TX packets:14580 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 
RX bytes:5225408 (4.9 MiB) TX bytes:2335475 (2.2 MiB) 
Interrupt:67 Base address:0x2000 


lo Link encap:Local Loopback 
inet addr:127.0.0.1 Mask:255.0.0.0 
inet6 addr: ::1/128 Scope:Host 
UP LOOPBACK RUNNING MTU:16436 Metric:1 
RX packets:3606 errors:0 dropped:0 overruns:0 frame:0 
TX packets:3606 errors:0 dropped:0 overruns:0 carrier:0 
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collisions:0 txqueuelen:0 
RX bytes:4858877 (4.6 MiB) TX bytes:4858877 (4.6 MiB) 


# 


从 以 上 显示 可 知 ， 目 前 系统 中 有 两 个 网 络 接口 ， 名 称 分 别 是 eth0 和 lo。 有 关 eth0 的 几 
个 关键 信息 如 下 所 示 。 
口 Link encap:Ethemet: 表示 接口 的 类 型 是 以 太 接口 。 
HWaddr 00:0C:29:9E:C5:AA: 表示 硬件 地 址 是 00:0C:29:9E:C5:AA。 
inet addr:10.10.1.29: 表示 IP 地 址 是 10.10.1.29。 
Mask:255.255.255.0: 表示 子 网 拖 码 是 255.255.255.0。 
MTU:1500: 表示 最 大 的 以 太 数据 帧 是 1 500 字 节 。 
RX bytes:5225408 (4.9 MiB): 表示 当前 收 到 了 5 225 408 字 节 数据 。 
TX bytes:2335475 (2.2 MiB): 表示 当前 发 送 了 2 335 475 字 节 数据 。 
ifconfig 命令 设置 网 络 接口 参数 的 格式 如 下 : 


ifconfig <interface> [<option> [addr]] 


此 时 ， 必 须要 指定 接口 的 名 称 ，option 表示 设置 选项 ， 有 些 设 置 选项 后 面 必须 要 有 某 
-种 地 址 ， 以 addr 表示 。 下 面 是 一 些 常用 的 设置 选项 。 

口 [addr]: 设置 接口 的 耳 地 址 为 addr。 
up: 激活 接口 。 
down: 使 接口 处 于 非 激活 状态 。 
arp: 使 接口 能 使 用 ARP 协议 。 如 果 前 面 加 一 个 “-”， 表示 不 使 用 。 
promisc: 使 接口 处 于 混杂 模式 ， 如 果 前 面 加 一 个 “-”， 表 示 回 到 一 般 模 式 。 混 杂 
模式 时 ， 网 卡 将 传递 任何 数据 包 给 IP 层 ， 否 则 ， 只 传递 MAC 地 址 是 本 机 的 数据 
包 给 全 层 。 
netmask <addr>: 设置 接口 的 子 网 挫 码 为 addr。 
hw <class> <addr>: 设置 接口 的 硬件 地 址 为 addr。class 表示 地 址 类 型 ， 以 太 网 卡 
要 用 ether。 
下 面 是 ifconfig 命令 的 几 个 例子 。 
示例 1: 
ifconfig eth0 10.10.1.250 


功能 : 把 eth0 接口 的 他 地 址 设置 为 10.10.1.250。 
示例 2: 
ifconfig eth0 10.10.1.250 netmask 255.255.255.0 


功能 : 把 eth0 接口 的 卫 地 址 设置 为 10.10.1.250， 并 把 子 网 手 码 设置 为 255.255.255.0。 
示例 3: 


OOOOODO 


加 
口 
口 
口 


口 口 


ifconfig eth0 promisc 


功能 : 使 eth0 接口 处 于 混杂 模式 。 


站 
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示例 4: 


ifconfig eth0 -arp 


功能 : 使 eth0 接口 不 使 用 ARP 协议 。 
示例 5: 
ifconfig eth0 down 


功能 : 使 eth0 接口 处 于 非 激活 状态 。 

以 上 命令 执行 后 ， 都 可 以 通过 “ifconfig -a eth0” 命 令 对 设置 的 结果 进行 检验 。ifconfig 
命令 的 设置 参数 还 有 很 多 ， 可 以 通过 “man ifconfig” 命 令 查看 它 的 手册 页 ， 以 获取 所 有 的 
设置 参数 。 


名 注意: ifconfig 命令 修改 网 络 接口 参数 后 ， 能 够 马上 生效 ,但 却 没有 储存 。 当 Linux 重启 
后 ， 参 数 将 回 到 原来 的 状态 。 


5.1.2 ”检查 网 络 是 否 通 畅 一 一 ping 命令 


ping 可 以 说 是 网 络 管理 中 最 常用 的 命令 ， 各 种 操作 系统 或 网 络 设备 都 支持 这 条 命令 ， 
它 的 作用 是 检测 本 机 与 某 一 远程 主机 之 间 的 网 络 是 否 是 连通 的 。ping 命令 的 工作 原理 是 向 
远程 机 发 送 包 含 一 定 字 节 数 的 ICMP 数据 包 。 如 果 能 收 到 对 方 回复 的 数据 包 ， 就 表明 网 络 
是 相通 的 ， 而 且 根据 两 个 数据 包 的 时 间 差 ， 还 可 以 知道 相互 之 间 网 络 连接 的 速度 。 

需要 注意 的 是 ， 有 些 远 程 主机 由 于 某 种 原因 禁止 了 ICMP 数据 包 的 回复 功能 ， 或 者 并 
不 回复 所 有 的 ICMP 数据 包 ， 则 此 时 执行 ping 命令 的 主机 虽然 收 不 到 对 方 的 回复 ， 但 实际 
上 网 络 仍然 可 能 是 相通 的 。 还 有 ，ping 命令 只 是 判断 相互 之 间 的 IP 层 是 否 相 通 ， 有 时 候 即 
使 IP 层 不 通 ， 但 网 络 接口 层 之 间 也 仍然 可 能 是 相通 的 。ping 命令 的 格式 如 下 所 示 。 

ping [-LRUbdfnqrvVaAB] [-c count] [-i interval] [ -1 preload] [-p pattern] 

[-s packetsize] [-t ttl] [-w deadline] [-M hint] 

[-F flowlabel] [-I interface] [-Q tos] [-S sndbuf] [-T timestamp option] 
[-W timeout] [ hop ...] destination 

可 见 ，ping 命令 的 格式 相当 复杂 ， 但 常用 的 选项 不 多 ， 主 要 有 以 下 几 项 。 
destination: 远程 主机 的 IP 地 址 。 
-ccount: 指定 发 送 count 个 ICMP 数据 包 ， 默 认 时 是 一 直 发 送 的 。 
-s packetsize: 指定 ICMP 数据 包 的 大 小 为 packetsize 个 字 节 , 默认 时 是 56 个 字 节 。 
-b: 允许 向 广播 地 址 发 送 ICMP 数据 包 ， 即 允许 ping 广播 地 址 。 
-i interval: 指定 发 送 ICMP 数据 包 的 间隔 时 间 ， 默 认 是 1 秒 ， 只 有 root 用 户 可 以 
指定 小 于 0.2 秒 。 
-q: 安静 模式 ， 不 显示 每 一 个 ICMP 回复 数据 包 的 情况 ， 只 显示 最 后 统计 结果 。 
-tttl: 指定 数据 包 的 TTL 值 为 也。 世 表 示 数 据 包 转发 的 次 数 。 
-W timeout: 指定 等 待 响应 的 超时 时 间 。 
-f: 采用 洪流 模式 ， 短 时 间 内 发 送 大 量 的 ICMP 包 。 在 显示 时 ， 发 一 个 ICMP 数据 
包 显 示 一 个 “.”， 收 到 一 个 回复 包 ， 显 示 一 个 空格 。 


OOODOCDOD 


OOODDO 
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口 -n: 不 试图 对 耳 地 址 进行 名 字 解 析 。 
下 面 看 两 个 ping 命令 的 例子 : 


# Ping 10.10.1.2 
PING 10.10.1.2 (10.10.1.2) 56(84) bytes of data. 
64 bytes from 10.10.1.2: icmp_ seq=1 ttl=128 time=0.511 ms 
//ICMP 回复 数据 包 的 情况 
64 bytes from 10.10.1.2: icmp_ seq=2 ttl=128 time=0.488 ms 
64 bytes from 10.10.1.2: icmp seq=3 ttl=128 time=0.640 ms 
64 bytes from 10.10.1.2: icmp_seq=4 ttl=128 time=0.963 ms 
// 显 示 到 此 处 时 ， 按 下 ctrl+c 组 合 键 终止 ping 命令 
--- 10.10.1.2 ping statistics --- // 下 面 是 ICMP 回复 数据 包 接 收 情况 的 统计 
4 packets transmitted, 4 received, 0% packet loss, time 3002ms 
rtt min/avg/max/mdev = 0.488/0.650/0.963/0.191 ms 
# 


以 上 ping 命令 测试 本 机 与 远程 主机 10.10.1.2 是 否 相 通 。 当 工作 时 ， 每 收 到 一 个 ICMP 
回复 数据 包 ， 就 在 屏幕 上 动态 显示 一 行 ， 依 次 输出 收 到 的 字 节 数 、 数 据 包 序号 、ttl 值 及 数 
据 包 来 回 的 时 间 等 信息 。 最 后 的 统计 主要 显示 丢 包 率 和 数据 包 来 回 的 最 小 /平均 /最 大 时 间 。 

ping “s 65500 6 3 10.10s1.2 

PING 10.10.1.2 (10.10.1.2) 65500(65528) bytes of data. 

65508 bytes from 10.10.1.2: icmp_ seq=1 ttl=128 time=12.4 ms 


65508 bytes from 10.10.1.2: icmp_ seq=2 ttl=128 time=34.5 ms 
65508 bytes from 10.10.1.2: icmp seq=3 ttl=128 time=35.6 ms 


=—— 10.10.T2 ping statlistics = 

3 packets transmitted, 3 received, 0% packet loss, time 2000ms 

rtt min/avg/max/mdev = 12.462/27.571/35.676/10.694 ms 

# 

以 上 命令 中 ， 用 “-s 65500” 选 项 指定 数据 包 的 大 小 为 65 500 个 字 节 ,“-c 3” 选 项 指 
定 发 送 3 个 数据 包 。 可 以 看 到 ， 因 为 数据 包 的 字 节 数 很 大 ， 其 来 回 时 间 相 对 前 一 条 命令 要 
增加 很 多 。 


全 注意 : 为 了 防止 黑客 利用 ping 命令 进行 攻击 ，-s 选项 能 够 指定 的 最 大 字 节 数 是 65 507。 


5.1.3 ”追踪 数据 包 传输 路 径 一 一 traceroute 命令 


通过 ping 命令 可 以 大 致知 道 本 机 与 远程 机 之 间 的 连接 速度 , 但 有 时 候 还 需要 知道 本 机 
的 数据 包 到 达 远 程 机 时 的 路 径 , 即 数据 包 在 传输 过 程 中 经 过 了 哪些 卫 地 址 的 路 由 器 、 网 关 。 
为 了 达到 这 个 目的 ， 需 要 使 用 traceroute 命令 。 

traceroute 命令 的 原理 是 首先 向 远程 主机 发 送 TTL 域 是 1 的 UDP 数据 包 。 当 第 一 个 路 
由 器 收 到 这 个 数据 包 时 ， 按 照 协议 规定 ,会 将 TTL 值 减 1。 于 是 ， 这 个 数据 包 的 TTL 值 就 
变 为 了 0。 再 按照 协议 规定 , 路 由 器 要 丢弃 TTL 为 0 的 数据 包 , 并 向 发 送 者 回复 一 个 ICMP 
过 期 数据 包 ， 这 个 数据 包 包含 了 路 由 器 自己 的 卫 地 址 。 于 是 ， 执 行 traceroute 命令 的 主机 
就 知道 了 第 一 站 路 由 器 的 IP 地 址 及 其 他 一 些 时 间 信 息 。 

根据 同样 的 原理 ， 执 行 traceroute 命令 的 主机 继续 向 目的 远程 主机 发 送 TTL 值 为 2 的 
UDP 数据 包 ， 就 可 以 知道 第 二 站 路 由 器 的 情况 。 依 次 类 推 ， 就 可 以 知道 路 径 中 所 有 路 由 器 
的 情况 。 最 后 , 当 数 据 包 到 达 目 的 地 时 , 由 于 目的 主机 一 般 不 是 路 由 器 , 因此 不 会 回复 ICMP 


。T5 。 
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过 期 数据 包 。 但 是 , 由 于 探测 用 的 UDP 数据 包 其 目的 端口 号 会 设 为 一 般 主机 都 不 大 可 能 监 


听 的 大 了 


F 32 768 的 端口 号 ， 因 此 ， 目 的 主机 会 回复 一 个 ICMP 端口 不 可 到 达 的 数据 包 ， 于 


是 发 送 方 就 知道 数据 包 已 经 到 达 目 的 地 了 。 
从 以 上 原理 可 知 , traceroute 能 够 得 到 最 终结 果 的 前 提 是 数据 包 所 经 过 的 每 一 台 路 由 器 


和 目的 3 


E 机 都 要 能 够 回复 相应 的 ICMP 数据 包 。 但 在 实际 情况 下 ， 有 些 路 由 器 或 目的 主机 


并 不 回复 ICMP 数据 包 ， 或 者 所 回复 的 数据 包 被 中 途 的 防火 墙 挡 住 了 。 此 时 ， 发 送 方 将 无 


法 得 知 这 些 路 由 器 或 目的 主机 的 情况 。traceroute 命令 的 格式 如 下 : 


七 Fa 
max 


ceroute [~-46dFITUnNnrAV] [-E first ttl] [-g gate,...] [-i device] [-m 
tt1] [-P port] [-s src addr] [-q nqueries] 
[-N squeries] [-t tos] [-1 flow label] [-w waittime] [-z sendwait] 
host [packetlen] 


其 中 的 host 表示 目的 主机 的 名 称 或 他 地址。 常用 的 儿 个 选项 解释 如 下 所 示 。 


口 
口 
口 
口 
口 
口 
口 


口 
口 


-I[: 使 用 ICMP ECHO 数据 包 作为 探测 数据 包 ， 默 认 是 UDP 数据 包 。 

-T: 使 用 TCP SYN 数据 包 作为 探测 数据 包 ， 默 认 是 UDP 数据 包 。 

-ffirst_ttl: 指定 数据 包 的 起 始 TTL 值 ， 默 认为 1。 

-i interface: 指定 发 送 探测 数据 包 的 接口 ， 默 认 是 按 路 由 表 进 行 选 择 。 

-mmax ttl; 指定 最 大 的 TTL 值 ， 默 认 是 30。 

-n: 当 显示 时 ， 不 对 IP 地 址 作 名 称 解析 。 

-p port: 使 用 UDP 数据 包 探测 时 ， 指 定数 据 包 起 始 端 口号 ， 使 用 ICMP 数据 包 探 
测 时 ， 指 定 起 始 序 列 号 ， 使 用 TCP 数据 包 探测 时 ， 指 定 一 个 固定 端口 号 。 

-w waittime: 指定 等 待 回复 数据 包 的 时 间 值 ， 默 认为 5 秒 。 

-q nqueries: 指定 每 一 站 发 送 探测 数据 包 的 个 数 。 


下 面 是 一 个 traceroute 命令 的 例子 。 


# traceroute -n www.sohu.com 
traceroute to www.sohu.com (222.73.123.17), 30 hops max, 40 byte packets 


pp 
hheoowawmewn 


埋 


10.10.1.1 0.480 ms 0.477 ms 0.537 ms 
10.1,5.253 0.339 ms 0-289 ms: 0.225. ms 
218%.75,26.33 1.029 ms * 3:398 ms 
220.186.254.37 1.456 ms 1.474 ms 1.493 ms 
61.174.179.165 1.617 ms 1.654 ms 1.797 ms 
Gl E14 .T79225. 25228 039 .25109. m3 25312 m8 
61.174.183.1 * 7.065 ms * 

61.152.80.145 9.532 ms ‘9.690 ms 61.152.80.161 10.277 ms 
124.74.254.166 10.069 ms 10.115 ms * 
222.73.101.66 10.434 ms 10.312 ms 9.790 ms 
222.73.102.98” 12.813 ms 12.787 ms 12.496 ms 
222.73.123.17 10.031 ms 10.159. ms 9.980 ms 


以 上 结果 显示 了 本 机 (IP 地 址 是 10.10.1.29) 到 www.sohu.com 之 间 的 路 径 , 可 以 看 到 ， 
需要 经 过 12 个 路 由 器 或 网 关 ， 才 能 到 达 IP 地 址 是 222.73.123.17 的 目的 主机 。 当 探测 时 ， 
给 每 一 个 路 由 器 发 送 3 个 数据 包 ， 每 个 数据 包 回 复 的 时 间 如 上 所 示 ， 其 中 的 “* ”表示 没有 
收 到 回复 数据 包 。 


# traceroute -n -f 8 -q 1 www.sohu.com 
traceroute to www.sohu.com (222.73.123.3), 30 hops max, 40 byte packets 


9 


。76 。 
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10 222.73:101.66 105356 ms 
L222.73.102.98 11.404 ms 
人 


以 上 命令 中 ,“-f8” 表 示 从 第 8 个 路 由 器 开始 探测 ,“-q 1” 表 示 每 个 路 由 器 只 发 送 一 
个 探测 数据 包 。 并 不 是 所 有 的 目的 地 都 可 以 探测 到 路 径 ， 有 了 时， 探测 数据 包 会 在 中 途 的 某 
个 位 置 被 挡住 ， 无 法 完成 探测 ， 如 下 面 的 命令 所 示 。 


# traceroute -n -f 14 www.yahoo.com 

traceroute to www.yahoo.com (209.191.93.52), 30 hops max, 40 byte packets 

15 12.122.138.13 224.792 ms 224.800 ms * 

16 12.86.20.18 323.934 ms 324.170 ms 324.111 ms 

17 216.115.104.97 324.449 ms 324.388 ms 324.399 ms 

18 68.142.193.5 324.374 ms 68.142.193.11 324.500 ms 68.142.193.9 
324.900 ms 

19 * +** 


BD 

# 

以 上 命令 中 ， 当 探测 到 第 19 站 时 ， 由 于 某 种 原因 不 能 收 到 回复 数据 包 ， 然 后 ， 默 认 
探测 到 第 30 站 后 就 结束 了 。 需 要 注意 的 是 ， 虽 然 不 能 用 traceroute 命令 探测 ， 但 并 不 意味 
着 目的 地 不 能 访问 。 实 际 上 ， 此 时 的 www.yahoo.com 域名 在 浏览 器 中 仍然 是 可 以 访问 的 。 


全 注意 : 由 于 traceroute 命令 需要 发 送 大量 的 数据 包 ， 会 造成 一 定 的 网 络 流量 。 因 此 ， 一 
般 在 以 手动 方式 解决 故障 时 使 用 ， 而 不 应 该 在 正常 的 操作 或 自动 脚本 中 使 用 。 


5.1.4 ”管理 系统 ARP 缓存 一 一 arp 命令 


ARP 也 是 一 种 网 络 协议 ， 称 为 地 址 解析 协议 。 虽然 在 Internet 中 ， 数 据 包 是 通过 IP 协 
议 进行 转发 的 , 但 在 以 太 局 域 网 中 ， 主 机 之 间 交 换 数 据 帧 时 ， 却 是 通过 MAC 地 址 进行 的 。 
因此 ， 当 以 太 网 中 的 一 台 主 机 向 另 一 IP 地 址 的 主机 发 送 数 据 包 时 ， 它 需要 知道 目的 全 地 
址 所 对 应 的 MAC 地 址 ， 才 能 把 这 个 IP 数据 包 发 送 过 去 。 


1. ARP 协议 的 工作 过 程 


在 局 域 网 中 ， 得 到 某 IP 地 址 所 对 应 的 MAC 地 址 的 过 程 也 称 为 地 址 解析 ， 一 般 使 用 
ARP 协议 ， 其 过 程 如 下 所 示 。 

假设 主机 A IP 地 址 为 10.10.1.29) 向 主机 B (IP 地 址 为 10.10.1.1) 发 送 一 个 卫 数据 
包 。 在 以 太 网 中 ， 主 机 A 需要 把 这 个 卫 数据 包 封 装 在 以 太 数据 帧 中 才能 发 送 ， 此 时 需要 
知道 主机 B 的 MAC 地 址 。 如 果 主 机 A 不 知道 主机 B 的 MAC 地 址 ， 它 就 会 在 网 络 上 发 送 
广播 数据 帧 ， 其 目标 MAC 地 址 是 广播 地 址 “FF.FF.FF.FF.FFFF”。 其 数据 内 容 相 当 于 
向 同一 网 段 内 的 所 有 主机 发 出 这 样 的 询问 :“10.10.1.1 的 MAC 地 址 是 什么 ? ”。 
同一 子 网 的 所 有 主机 都 会 收 到 这 个 广播 数据 帧 ， 但 只 有 主机 B 接收 到 这 个 帧 时 ， 才 会 
向 主机 A 发 送 回应 数据 帧 。 其 内 容 相 当 于 做 出 这 样 的 回应 :“10.10.1.1 的 MAC 地 址 是 
12-34-56-78-9a-bce”。 于是, 主机 A 就 知道 了 主机 B 的 MAC 地 址 ， 就 可 以 向 主机 了 BB 发 送 刚 
才 的 那个 卫 数据 包 了 。 


号 了 
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2. ARP 缓存 


如 果 主 机 A 每 一 次 发 送 IP 数据 包 前 都 经 过 上 述 的 ARP 解析 过 程 , 则 显然 是 不 合适 的 ， 
因为 这 样 的 话 会 在 网 络 中 产生 很 多 的 数据 帧 。 因 此 ， 主 机 A 要 在 自己 的 机 子 里 维持 一 个 
ARP 缓存 ， 里 面 存放 着 各 个 IP 地 址 所 对 应 的 MAC 地 址 信息 ， 每 次 发 送 IP 数据 包 前 ， 都 
要 先 在 ARP 缓存 中 查找 是 否 有 目的 IP 的 MAC 地 址 信息 ， 只 有 找 不 到 的 时 候 ， 才 会 通过 
ARP 协议 进行 解析 。 

ARP 缓存 中 的 条 目 分 为 静态 和 动态 两 种 ， 静 态 条 目 由 管理 员 指 定 ， 使 用 过 程 中 一 直 不 
变 ; 动态 条 目 是 通过 ARP 协议 解析 时 得 到 的 ， 采 用 了 老化 机 制 ， 即 在 一 段 时 间 内 如 果 缓 存 
表 中 的 某 一 条 目 没有 被 使 用 ,将 会 自动 删除 。 这 样 ， 一 方面 可 以 大 大 减少 ARP 缓存 表 的 长 
度 , 以 加 快 查询 速度 , 另 一 方面 如 果 局 域 网 中 其 他 机 子 的 人 P 与 MAC 地 址 关系 发 生变 化 时 ， 
能 及 时 更 新 。 


3. ARP 命令 


在 包括 Linux 在 内 的 大 部 分 操作 系统 中 ， 都 可 以 使 用 arp 命令 对 ARP 缓存 进行 管理 ， 
包括 查看 ARP 缓存 中 的 条 目 、 添 加 或 删除 静态 ARP 条 目 等 。 下 面 介绍 儿 个 arp 命令 的 使 
用 例子 。 


示例 1: 

# arp -n 

Address HWtype HWaddress Flags Mask Iface 
Ld i 4 ether 00:11:09:AF:65:59 CC eth0 


LN en ether 00:0B:FC:B7:D3:3C CC eth0 
# ping 10.10.1.6 

PING 10.10.1.6 (10.10.1.6) 56(84) bytes of data. 

64 bytes from 10.10.1.6: icmp_seq=1 ttl=255 time=1.43 ms 


# arp -n 


Address HWtype HWaddress Flags Mask Iface 
Pa Jy 1 ee ether O01:09AF:65:59 ULC eth0 
PT ether 00:0B:FC:B7:D3:3C  C eth0 
TOOL G ether 00:03:BA:21:81:9D  C eth0 
# 


以 上 arp 命令 列 出 了 当前 ARP 缓存 中 的 条 目 ，-n 选项 表示 显示 时 ， 不 对 IP 地 址 进行 
域名 解析 。 可 以 看 到 ， 在 开始 时 ，ARP 缓存 中 只 有 10.10.1.2 和 10.10.1.1 两 个 条 目 。 当 执 
行 了 “ping 10.10.1.6” 命 令 后 ， 缓 存 中 就 多 了 一 个 10.10.1.6 的 条 目 。 这 是 因为 向 10.10.1.6 
发 送 数据 包 时 ， 会 对 10.10.1.6 进行 MAC 地 址 解析 ， 成 功 后 会 把 条 目 添加 在 ARP 缓存 中 。 
另外 ， 如 果 主 机 在 一 定 的 时 间 内 没有 与 3 个 条 目 对 应 的 IP 地 址 通信 ， 则 这 些 条 目 会 自行 
消失 。 

示例 2: 

# arp -s 10.10.1.254 12:34:56:78:9a:bc 


功能 : -s 选项 表示 添加 一 个 静态 ARP 条 上 日， 上面 的 命令 表示 把 IP 地 址 10.10.1.254 的 
MAC 地 址 指定 为 12:34:56:78:9a:bc。 
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示例 3: 


# arP -an 10.10.1.254 
? (10.10.1.254) at 12:34:56:78:9A:BC [ether] on eth0 


功能 : -a 选项 表示 查看 指定 卫 地 址 的 ARP 条 目 。 可 以 发 现 ， 刚 才 添加 的 条 目 已 经 存 
而 且 这 个 条 目 一 直 存 在 ， 不 会 消失 。 

示例 4: 

# arp -Q 10.10.1.254 

功能 : -d 选项 表示 删除 指定 IP 地 址 的 ARP 条 目 。 

示例 5: 


# arp -an 10.10.1.254 
? (10.10.1.254) at <incomplete> on eth0 


加 


功能 : 再 次 查看 ARP 缓存 ， 可 以 发 现 刚才 删除 的 条 目 成 了 <incomplete>， 表 示 不 能 使 
用 了 ， 但 需要 过 一 段 时 间 后 这 个 条 目 才 会 消失 。 

示例 6: 

# arp -上 /etc/ethers 


功能 : 把 /etc/ethers 文件 中 指定 的 ARP 条 日 导入 ARP 缓存 。/etc/ethers 应 该 是 文本 文 
件 ， 每 一 行 包 含 由 空格 隔 开 的 MAC 地 址 和 卫 地 址 。 实 际 上 ， 如 果 不 指定 文件 名 ， 默 认 使 
用 的 就 是 /etc/ethers 文件 。 


全 说 明 : 还 有 一 种 与 ARP 协议 作用 相反 的 协议 ,， 称 为 RARP， 即 逆 地 址 解析 协议 。 它 用 于 
把 硬件 地 址 解析 为 IP 地 址 ， 一 般 在 无 盘 引导 时 使 用 。 


5.1.5 ”域名 查找 工具 一 一 dig 命令 


在 Internet 中 ， 域 名 需要 通过 DNS 解析 才能 转化 为 IP 地址 。 有 些 命令 (如 ping 等 ) 
执行 时 ， 也 可 以 查 到 域名 与 IP 地 址 的 对 应 关系 。 但 如 果 想 有 进一步 功能 ， 如 想 了 解 DNS 
服务 器 的 他 地 址 改变 DNS 服务 器 和 把 IP 地 址 解析 为 域名 等 , 则 需要 通过 dig 或 nslookup 
等 DNS 客户 端 工具 。 由 于 dig 命令 功能 比较 强大 ， 使 用 也 比较 方便 ， 下 面 将 介绍 dig 命令 
的 使 用 方法 。 最 简单 的 dig 命令 格式 如 下 : 


dig @server name type 


其 中 ，server 表示 域名 服务 器 的 IP 地 址 ， 如 果 不 指明 ,使 用 /etc/resolv.conf 文件 指定 的 
域名 服务 器 卫 。name 表示 要 解析 的 名 称 ，type 表示 解析 的 类 型 ， 例 如 A 表示 正 向 域名 解 
析 ， 即 把 域名 解析 为 卫 地 址 。PTR 表示 反 向 域名 解析 ， 即 把 IP 地 址 解析 为 域名 。MX 表 
示 要 得 到 邮件 服务 器 的 名 称 和 IP 地址 。 默 认 时 ， 解 析 的 类 型 是 A。 下 面 是 两 条 dig 命令 的 
例子 。 


# dig @61.153.177.196 www.sohu.com 


2 <<>> DiG 9.3.3rc2 <<>> @61.153.177.196, wa SO com 
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77 ANSWER SECTION: 


www.-Sohu.com- 88 IN CNAME 4d7.a.sohu.com. 
d7.a.sohu.com. 1033: IN CNAME pgctcsht01.a.sohu.com. 
pgctcsht01.a.sohu.com. 114 IN A 2 
pgctcsht01.a.sohu.com. 114 IN A ps eh bd 
pgctcsht01.a.sohu.com. 114 IN A pd fe, fp ec Jy 
pgctcsht01.a.sohu.com. 114 IN A Ph es 
pgctcsht01.a.sohu.com. 114 IN A 人 
pgctcsht01.a.sohu.com. 114 IN A 222573 12388 
pgctcsht01.a.sohu.com. 114 IN A 222° T3237 
pgctcsht01.a.sohu.com. 114 IN A 2 232 1 
# 


以 上 dig 命令 表示 从 域名 服务 器 61.153.177.196 处 查询 域名 www.sohu.com 所 对 应 的 IP 
地 址 。 从 显示 结果 可 以 看 到 ， 该 域名 是 d7.a.sohu.com 的 别名 ， 而 域名 d7.a.sohu.com 又 是 
pgctcsht01.a.sohu.com 的 别名 ， 然 后 pgctcsht01.a.sohu.com 又 对 应 了 8 个 IP 地 址 。 


# dig @61.153.177.196 sohu.com MX 


” <<>> DiG 9.3.3rc2 <<>> @61.153.177.196 sohu.com MX 


7 QUESTION SECTION: 
;sohu.com. IN MX 


7 RNSWER SECTION: 


sohu.com. 600 IN MX 10 sohumx.h.a.sohu.com. 
sohu.com. 600 IN Mx 5 sohumxl.sohu.com. 
# 


以 上 命令 表示 查询 域 sohu.com 中 的 邮件 服务 器 。 可 以 看 到 , 一 共有 两 台 ,， 域 名 分 别 为 
sohumx1.sohu.com 和 sohumx.h.a.sohu.com。 下 面 再 看 dig 命令 其 他 的 使 用 例子 。 

示例 1: 

Sig202.57120-.2290 PTR 

功能 :从 系统 所 设 的 DNS 服务 器 查找 IP 地 址 202.57.120.228 所 对 应 的 域名 。 一 般 情 
况 下 ， 这 种 查询 都 是 不 成 功 的 ， 因 为 DNS 服务 器 正确 设置 PTR 记录 的 不 多 见 。 

示例 2: 

dig sohu.com. +nssearch 

功能 : 查找 sohu.com 域 的 授权 DNS 服务 器 。 

示例 3: 
dig sohu.com +trace 
功能 ， 从 根 服务 器 开始 追踪 sohu.com 域名 的 解析 过 程 。 
示例 4: 
dig 
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功能 : 列 出 所 有 的 根 服务 器 。 


全 说 明 : dig 命令 的 格式 非常 复杂 ， 完 全 掌握 它 的 使 用 需要 比较 深入 地 理解 DNS 协议 的 有 
关 知 识 。 


5.2 网络 相关 的 配置 文件 


传统 上 ， 很 多 的 情况 下 都 是 通过 配置 文件 对 UNIX 操作 系统 进行 配置 的 ， 后 来 为 了 方 
便 用 户 的 使 用 ， 才 出 现 了 以 命令 方式 或 图 形 方式 对 系统 进行 配置 。 实 际 上 ， 有 时 候 一 系列 
的 命令 或 图 形 界面 操作 最 终 改 变 的 还 是 配置 文件 的 内 容 。 因 此 ， 通 过 修改 配置 文件 来 配置 
Linux 系统 是 最 直接 的 方式 。 下 面 介 绍 几 个 与 Linux 网 络 配置 有 关 的 配置 文件 。 
5.2.1 /etc/sysconfig/network 文件 

在 /etc/re.d/init.d 目录 中 , 存放 着 各 种 启动 服务 进程 的 脚本 程序 文件 , 其 中 名 为 network 
的 文件 就 是 对 网 络 进行 初始 设置 的 脚本 程序 。 在 图 3-44 中 可 以 看 到 , 默认 情况 下 , network 
就 是 开机 时 要 自动 执行 的 服务 。 当 /etc/re.d/init.d/network 文件 执行 时 ,要 完成 一 系列 的 网 络 
初始 化 工作 。 可 以 用 以 下 命令 停止 Linux 的 网 络 功 能 。 

/etc/rc.d/init.d/network stop 

或 者 用 以 下 命令 启动 网 络 功 能 。 

/etc/rc.d/init.d/network start 

或 者 用 以 下 命令 重启 网 络 功能 。 

/etc/rc.d/init.d/network restart 

network 脚本 的 部 分 内 容 解 释 如 下 : 

#! /bin/bash # 该 脚本 使 用 Bash shell 


. /etc/sysconfig/network ， # 执行 /etc/sysconfig/network 脚本 程序 


cd /etc/sysconfig/network-scripts 
. ./network-functions # 执行 /etc/sysconfig/network-scripts 目录 的 
network-functions 脚本 


# 以 下 语句 找到 /etc/sysconfig/network-scripts 目录 下 ifcfg 开头 的 文件 ， 但 排除 某 些 
这 件 


interfaces=$ (ls ifcfg* | \ 
LANG=C sed -e "$_ sed discard ignored files" \ 
-e '/\(ifcfg-lo\|:\|ifcfg-.*-range\)/d' \ 
e/g ls 20 20 ON No Wa/ EGEg /A/97a/ lO/ Ad 
WIN 
LANG=C sort -k 1,1 -k 2n | \ 
LANG=C sed 's/ //') 
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case "$1" in 


start) # 当 执 行 /etc/rc.d/init.d/network start 命令 时 ， 执 行 以 下 语句 
action $"Bringing up loopback interface:"./ifup ifcfg-1o# 启动 环 回 接口 
for i in $interfaces; do 


action $"Bringing up interface $i: " ./ifup $i boot # 以 前 面 找到 
的 ifcfg 开始 的 文件 为 参数 ， 启 动 接口 


done 


# 如 果 存在 /etc/sysconfig/static-routes 文件 ， 则 把 该 文件 设置 的 静态 路 由 条 目 加 到 路 由 
表 中 
if [ -f /etc/sysconfig/static-routes ]; then 
grep "^any" /etc/sysconfig/static-routes | while read ignore args ; 
do 
/sbin/route add -$args 
done 
本 和 


/etc/re.d/init.d/network 脚本 文件 的 内 容 比较 复杂 , 执行 时 还 要 调用 其 他 脚本 ， 上 面 解释 
的 就 是 该 文件 再 次 调用 其 他 脚本 的 一 些 语句 。 实 际 上 ， 启 用 网 络 功能 最 终 要 使 用 ifconfig 
命令 激活 网 络 接口 ， 并 使 用 ip route 命令 设置 路 由 。 但 为 了 给 接口 设置 参数 ， 中 间 经 过 了 
很 多 脚本 的 处 理 。 


全 说 明 : 在 图 形 界面 中 改变 了 网 络 设置 后 ， 如 果 要 马上 生效 ， 实 际 上 也 是 通过 重 起 这 个 脚 
本 程序 来 达到 目的 的 。 


5.2.2 /etc/sysconfig/network-scripts/ifcfg-ethN 文件 


通过 分 析 /etc/re.d/init.d/network 脚本 程序 文件 可 以 发 现 ， 它 要 调用 很 多 其 他 的 脚本 程 
序 , 再 由 这 些 脚 本 程序 完成 一 系列 的 网 络 设置 工作 。 其 中 /etc/sysconfig/network-scripts 目录 
下 的 这 fg-ethN (CN 是 一 个 整数 ) 文件 就 是 network 脚本 程序 中 要 寻找 的 文件 ， 然 后 再 以 这 
些 文件 为 参数 ， 启 动 以 太 网 络 接口 。 也 就 是 说 ，/etc/sysconfig/network-scripts 目录 中 的 每 一 
个 这 fg-ethN 文件 代表 了 一 个 网 络 接口 的 配置 。 例 如 ， 可 以 查看 ifcfg-eth0 文件 的 内 容 。 


# more /etc/sysconfig/network-scripts/ifcfg-eth0 
# Please read /usr/share/doc/initscripts-*/sysconfig.txt 
# for the documentation of these parameters. 
TYPE=Ethernet 

DEVICE=eth0 

HWADDR=00:0c:29:9e:c5:aa 

BOOTPROTO=dhcp 

ONBOOT=yes 

USERCTL=no 

IPV6INIT=no 

PEERDNS=yes 

# 


该 文件 中 的 内 容 就 是 以 太 网 卡 eth0 的 接口 参数 。 在 4.3.2 节 中 配置 的 以 太 连 接 的 网 络 
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参数 保存 时 ， 实 际 上 就 是 保存 在 这 个 文件 中 。 另 外 ， 如 果 添 加 了 一 个 新 的 以 太 网 连接 ， 则 
会 在 /etc/sysconfig/network-scripts 目录 下 出 现 这 他 -ethl 文件 , 里面 存放 的 就 是 以 太 连 接 eth1l 
的 配置 参数 。 


会 注意: 如 果 出 现 类 似 ifcfg-eth0:1 的 文件 ， 表 示 的 是 一 个 有 逻辑 子 接口 的 配置 。 


5.2.3 /etc/resolv.conf 和 /etc/hosts 文件 


由 于 卫 地 址 难以 记忆 , 人 们 就 使 用 字符 串 形式 的 名 称 对 主机 进行 命名 , 但 最 终 还 是 必 
须要 将 名 称 转换 为 对 应 的 人 P 地 址 才能 访问 主机 ， 因 此 需要 一 种 将 名 称 解 析 为 IP 地 址 的 机 
制 。 在 Linux 系统 ， 默 认 情况 下 支持 两 种 方法 来 进行 名 称 解析 ， 一 种 是 Host 表 ， 另 一 种 是 
域名 服务 (DNS)。 


名 说明: 还 有 一 种 常用 的 名 称 解析 方式 是 NIS， 称 为 网 络 信息 服务 ， 也 可 以 在 Linux 系统 
中 配置 使 用 。 


Host 表 存 放 在 一 个 简单 的 文本 文件 中 ， 文 件 名 是 /etc/hosts， 可 以 查看 一 下 RHEL 6 的 
hosts 文件 的 默认 内 容 。 


# more /etc/hosts 
# Do not remove the following line, or various programs 
# that require network functionality will fail. 


OO localhost.localdomain localhost 
fl localhost6.1localdomain6 localhost6 
# 


hosts 文件 的 格式 是 左边 一 个 他 地址 ， 右 边 是 该 IP 地 址 对 应 的 名 称 。 例 如 ， 以 上 内 容 
中 ，IP 地 址 127.0.0.1 对 应 的 名 称 是 localhost.localdomain 或 localhost。 如 果 在 hosts 文件 中 
加 入 以 下 一 行 代码 : 

222.73.123.17 www.sohu.com 


则 以 后 使 用 www.sohu.com 名 称 访问 远程 主机 时 ， 就 会 转换 成 对 222.73.123.17 地 址 的 
访问 。 

使 用 Host 表 进 行 名 称 解析 适用 于 小 规模 、 不 常 变化 的 网 络 。 如 果 网 络 规模 非常 大 ， 并 
且 变 化 很 频繁 , 则 维持 和 更 新 Host 表 的 工作 量 将 非常 大 , 一 般 都 使 用 DNS 进行 域名 解析 。 
但 在 大 部 分 的 操作 系统 中 ，Host 表 依 旧 存 在 ， 并 且 可 以 和 DNS 同时 使 用 。 

当 进 行 DNS 解析 时 ， 需 要 系统 指定 一 台 DNS 服务 器 ， 以 便当 主机 要 解析 域名 时 ， 能 
够 向 所 设 定 的 DNS 服务 器 进行 查询 。 在 包括 Linux 在 内 的 大 部 分 UNIX 系统 中 ，DNS 服 
务 器 的 卫 地址 存放 在 /etc/resolv.conf 文件 中 。 也 就 是 说 ， 在 图 形 方式 配置 网 络 参数 时 ， 所 
设置 的 DNS 服务 器 就 是 存放 在 这 个 文件 中 的 .用 户 也 完全 可 以 通过 手动 方式 修改 这 个 文件 
的 内 容 来 进行 DNS 设置 。resolv.conf 文件 的 每 一 行 由 一 个 关键 字 和 随后 的 参数 组 成 ， 常 用 
的 关键 字 如 下 所 示 。 

口 nameserver <IP 地 址 >: 指定 DNS 服务 器 的 IP 地 址 。 可 以 有 多 行 ， 查 询 时 按 

nameserver 行 在 文件 中 的 次 序 进行 ， 只 有 当前 一 个 DNS 服务 器 不 能 使 用 时 ， 才 查 
询 后 面 的 DNS 服务 器 。 
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口 domain < 域名 >: 声明 主机 的 域名 。 当 用 户 只 指定 主机 名 而 没有 指定 域名 时 ， 很 
多 程序 ,如 邮件 系统 , 会 认为 这 个 主机 位 于 指定 的 域内 。 默 认 时 ,系统 取 gethostname 
函数 的 返回 值 ， 并 去 掉 第 一 个 “.” 前 面 的 内 容 作 为 域名 。 

口 search < 域名 [域名 ] ...>: 与 domain 的 含义 相同 ， 但 可 以 指定 多 个 域名 ， 并 用 空 
格 分 隔 。domain 和 search 关键 字 不 能 共同 使 用 ， 如 果 同 时 存在 ， 将 使 用 后 面 的 。 

在 RHEL 6 中 ， 没 有 为 resolv.conf 文件 提供 默认 的 内 容 。 下 面 是 一 个 resolv.conf 文件 

的 例子 内 容 : 
# more /etc/resolv.conf 


; generated by /sbin/dhclient-script  # 这 个 注释 表示 下 面 的 DNS 服务 器 IP 是 通过 
DHCP 自动 获取 的 


search wzvtc.cn 

nameserver 10.10.1.2 

nameserver 61.153.177.196 

# 

由 于 Host 表 解 析 和 DNS 解析 在 Linux 中 是 共存 的 ， 因 此 需要 指定 使 用 它们 的 先后 次 
序 。 在 Linux 中 ， 这 个 次 序 是 由 /etc/host.conf 文件 决定 ， 该 文件 默认 的 内 容 如 下 : 

# more /etc/host.conf 

multi on 

# 

其 中 的 order 关键 字 指定 了 名 称 解 析 的 次 序 ， 以 上 内 容 表 示 先 使 用 hosts 文件 进行 名 称 
解析 。 如 果 不 能 成 功 解析 ， 再 使 用 DNS 进行 解析 。 


5.3 Linux 下 的 网 络 故障 诊断 


由 于 实现 网 络 服务 的 层次 结构 非常 多 ， 因 此 当 网 络 出 现 故障 时 ， 解 决 起 来 将 比较 复杂 。 
本 节 主要 介绍 Linux 系统 中 可 能 会 出 现 的 一 些 网 络 问题 ， 如 网 卡 硬 件 问题 、 网 络 配置 问题 、 
驱动 程序 问题 ， 以 及 网 络 层 、 传 输 层 、 应 用 层 问 题 等 ， 并 介绍 了 一 些 解决 故障 的 方法 、 手 段 。 


5.3.1 诊断 网 卡 故障 


大 部 分 的 计算 机 都 是 通过 以 太 网 卡 接 入 网 络 的 ， 或 者 直接 通过 网 卡 与 其 他 主机 通信 ， 
或 者 在 网 卡 的 基础 上 通过 ADSL 等 拨号 连接 方式 与 其 他 主机 通讯 。 因 此 , 如果 网 卡 出 问题 ， 
计算 机 将 无 法 与 其 他 主机 通信 ， 也 就 无 法 使 用 网 络 了 。 
网 卡 的 故障 可 以 分 为 硬件 故障 和 软件 故障 两 类 。 可 能 的 硬件 故障 是 网 卡 上 的 电子 元 器 
件 损坏 ， 一 般 用 户 是 无 法 对 这 种 硬件 故障 进行 检测 的 ， 判 断 的 方法 只 能 是 把 该 网 卡 插 到 其 
他 计算 机 上 使 用 ， 如 果 在 多 台 计 算 机 上 都 不 能 正常 使 用 ， 应 该 是 属于 元 器 件 损坏 了 。 这 种 
故障 用 户 自己 一 般 无 法 修理 。 
还 有 一 类 常见 的 硬件 故障 是 由 于 接触 不 好 ， 或 者 是 网 卡 与 主板 上 的 总 线 插 槽 接触 不 
牢 ， 或 者 是 双 绞 线 上 的 水 晶 头 与 网 卡 的 RJ45 插口 接触 不 牢 。 一 般 情 况 下 ， 如 果 网 卡 本 身 
正常 ， 网 卡 与 主板 是 否 连接 正常 可 以 通过 观察 PC 机 自 检 时 的 提示 信息 进行 判断 。 如 果 提 
示 检 测 到 了 Ethernet 之 类 的 设备 ， 一 般 表 明 网 卡 与 主板 的 连接 是 正常 的 。 
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一 般 网 卡 上 都 有 一 个 连接 指示 灯 ， 当 网 卡 与 交换 机 等 对 端 设备 的 线路 连接 正常 时 ， 该 
指示 灯会 亮 起 来 。 因 此 ， 可 以 根据 该 指示 灯 的 指示 来 判断 网 卡 的 RJ45 端口 与 水 唱 头 有 没 
有 接触 不 良 的 问题 。 当 然 ， 如 果 指 示 灯 不 亮 ， 也 有 可 能 是 对 端 设 备 ， 如 交换 机 等 的 问题 ， 
或 者 是 线路 的 故障 ， 需 要 排除 其 他 故障 后 再 进行 判断 。 

实际 情况 下 ， 大 部 分 的 网 卡 出 现 的 故障 都 是 属于 软件 故障 。 软 件 故 障 分 为 两 类 ， 一 类 
是 设置 故障 ， 即 由 于 某 种 原因 ， 该 网 卡 所 使 用 的 计算 机 资源 与 其 他 设备 发 生 了 冲突 ， 导 致 
它 无 法 工作 。 另 一 类 是 驱动 程序 故障 ， 即 网 卡 的 驱动 程序 被 破坏 或 未 正确 安装 ， 导 致 操作 
系统 无 法 与 网 卡 进行 通信 。 在 Linux 系统 中 ， 可 以 通过 dmsg 命令 显示 系统 引导 时 的 提示 
信息 ， 其 中 包括 了 有 关 网 卡 的 内 容 。 

[root@localhost ~]# dmesg | grep eth 

eth0: registered as PCnet/PCI II 79C970R 

eth0: link up 


eth0: no IPv6 routers present 
[root@localhost ~]# 


以 上 命令 列 出 了 引导 信息 中 包含 eth 字符 串 的 行 ， 如 果 出 现 了 类 似 于 “eth0: link up” 
的 提示 ,表示 Linux 已 经 检测 到 了 网 卡 ， 并 处 于 正常 工作 状态 。 还 有 一 条 lspci 命令 可 以 列 
出 Linux 系统 检测 到 的 所 有 PCI 设备 ， 如 果 所 用 的 网 卡 是 PCI 总 线 的 ， 应 该 要 能 够 看 到 这 
块 网 卡 的 信息 。 


[root@localhost ~]# lspci 


02:00.0 USB Controller: Intel Corporation 82371RB/EB/MB PIIX4 USB 
02:02.0 Multimedia audio controller: Ensoniq ES1371 [AudioPCI-97] (rev 02) 
02:05.0 Ethernet controller: Advanced Micro Devices [AMD] 79c970 [PCnet32 
LANCE] (rev 10) 

[root@localhost ~]# 


可 以 看 到 ，lspci 命令 列 出 了 很 多 PCI 设备 。 其 中 ， 最 后 一 行 表 示 的 是 以 太 控制 卡 ， 列 
出 的 信息 还 包括 网 卡 的 类 型 。 如 果 lspci 命令 能 看 到 网 卡 的 存在 ， 一 般 表 明 该 网 卡 已 经 被 
Linux 承认 ， 硬 件 方面 是 没有 什么 问题 了 。 最 后 ， 可 以 用 ethtool 查看 以 太 网 卡 的 链 路 连接 
是 否 正常 。 
# ethtool eth0 
Settings for eth0: 
Current message level: 0x00000007 (7) 


Link detected: yes 
# 


如 果 看 到 “Link detected: yes” 一 行 ， 表 明 网 卡 与 对 方 的 网 络 线路 连接 是 正常 的 。 
外 说 明 : 大 部 分 的 网 卡 都 有 自 带 的 检测 工具 软件 ， 也 可 以 通过 运行 这 个 工具 对 网 卡 进行 检测 。 


5.3.2 网卡 驱动 程序 


网 卡 能 够 被 Linux 检测 到 ， 并 不 意味 着 它 已 经 能 够 正常 地 工作 了 ， 因 为 任何 硬件 能 
正常 工作 的 前 提 是 需要 有 相应 的 驱动 程序 。 驱 动 程序 是 内 核 与 外 部 硬件 设备 之 间 通 讯 时 的 
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中 介 ， 对 于 网 卡 来 说 ，Linux 内 核 只 提供 了 一 个 访问 网 卡 的 通用 接口 ， 是 不 针对 任何 具体 
网 卡 的 。 网 卡 从 网 络 收 到 数据 后 ， 需 要 通过 网 卡通 用 接口 把 数据 交 给 内 核 ， 也 要 通过 网 卡 
通用 接口 从 内 核 接收 数据 ， 再 发 送 到 网 络 。 每 一 种 类 型 的 网 卡 从 内 核 接收 数据 到 交 给 硬件 
芯片 ， 或 者 数据 从 硬件 芯片 送 给 内 核 的 过 程 都 是 不 一 样 的， 这 个 过 程 需要 网 卡 的 制造 商 自 
己 编写 程序 来 实现 ， 这 就 是 网 卡 驱 动 程序 。 

在 Linux 系统 中 ， 网 卡 驱 动 程序 是 以 模块 的 形式 实现 的 ， 一 些 知名 公司 生产 的 ， 或 市 
场 上 常见 的 网 卡 ， 在 Linux 的 发 行 版 中 一 般 都 已 经 为 其 提供 了 驱动 程序 模块 。 所 有 的 网 卡 
驱动 程序 模块 都 可 以 在 /lib/module 目录 中 找到 ， 该 目录 包含 了 一 个 与 Linux 内 核 版 本 有 关 
的 目录 名 称 ， 如 2.6.32-279.el6.i686， 然 后 下 面 还 有 kernel/driver/net 目录 ， 所 有 的 网 卡 驱动 
程序 都 在 这 个 目录 中 ， 可 以 查看 这 个 目录 的 内 容 。 

# 1s /lib/modules/2.6.32-279.e16.i686/kernel/drivers/net 


3c59x.ko dummy .ko netconsole.ko  r8169.ko tg3.ko 
8139cp.ko el000 ns83820.ko s2io.ko tlan.ko 
8139too.ko e100.ko pcmcia sis190.ko tokenring 
8390 .ko epicl00.ko pcnet32.ko sis900.ko tulip 
chelsio natsemi.ko PPPox .ko sungem_Phy.ko 

dl2k.ko ne2k-pci.ko ppp synctty.ko sunhme.ko 

# 


以 上 文件 中 ， 所 有 以 .ko 结尾 的 文件 都 是 驱动 模块 ， 还 有 一 些 子 目录 中 包含 了 更 多 的 
驱动 模块 。 如 果 某 一 种 网 卡 Linux 内 核 不 支持 ， 需 要 从 另外 的 途径 得 到 该 网 卡 的 驱动 模块 
文件 ， 并 把 它 复制 到 该 目录 中 。 为 了 查看 系统 当前 使 用 的 网 卡 驱动 模块 ， 或 者 要 手动 设置 
使 用 某 一 网 卡 驱 动 模块 ， 在 RHEL 6 中 ， 需 要 先 查 看 或 设置 /etc/modprobe.conf 文件 ， 该 文 
件 包含 了 有 关 模 块 的 安装 和 别名 信息 。 下 面 是 该 文件 的 例子 内 容 。 

# more /etc/modprobe.conf 

alias scsi hostadapter mptbase 

alias scsi hostadapterl mptspi 

alias snd-card-0 snd-ens1371 

options snd-card-0 index=0 

options snd-ens1371 index=0 

remove snd-ens1371 { /usr/sbin/alsact1l store 0 >/dev/null 2>&1 || : ) )}7 

/sbin/m 

odprobe -r --ignore-remove snd-ens1371 

alias eth0 pcnet32 

# 


以 上 显示 中 ,最 后 一 行 “alias eth0 pcnet32” 表 示 为 pcnet32 模块 定义 了 一 个 别名 eth0。 
也 就 是 说 ， 目 前 使 用 的 以 太 网 卡 接口 eth0 对 应 的 模块 是 penet32。 此 时 ， 表 定 可 以 在 前 面 
的 模块 目录 中 找到 pcnet32.ko 文件 。 可 以 用 以 下 命令 查看 当前 系统 装载 的 模块 中 是 否 有 
pcnet32 模块 。 


[root@localhost 2.6.18-8.e15]# lsmod | grep pcnet32 
pcnet32 35269, 00 

mii 9409 1 pcnet32 
[root@localhost 2.6.18-8.e15]# 


可 以 发 现 ,pcnet32 模块 已 经 安装 。 因 此 ,如 果 网 卡 已 经 被 Linux 检测 到 ,但 执行 “ifconfig 
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a” 命 令 时 却 看 不 到 eth0 接口 ， 可 以 按 以 上 方法 把 网 卡 的 驱动 程序 模块 找到 ， 再 看 这 个 模 
基 是 理 已 经 装载 。 如 果 在 系统 中 找 不 到 驱动 模块 ， 则 或 者 是 Linux 内 核 不 支持 所 安装 的 网 
卡 类 型 ， 需 要 手动 安装 ,或 者 是 由 于 某 种 原因 ， 当 系统 启动 时 没有 自动 装载 网 卡 驱动 模块 。 
下 面 再 介绍 系统 自动 装载 网 卡 驱动 模块 的 过 程 ， 首 先 用 以 下 命令 查看 pcnet32.ko 模块 的 
信息 。 


# modinfo /lib/modules/2.6.32-279.e16.i686/kernel/drivers/net/pcnet32.ko 


filename: pcnet32.ko 

license: GPL 

description: Driver for PCnet32 and PCnetPCI based ethercards 

author: Thomas Bogendoerfer 

srcversion: F81443556AAE169CBF80F55 

alias: pci:v00001023d00002000sv*sd*bc02sc00i* 

alias: pci:v00001022d00002000sv*sd*bc*sc*i* 

alias: pci:v00001022d00002001sv*sd*bc*sc*i* 

depends: mii 

vermagic: 2.6.18-8.e1l5 SMP mod unload 686 REGPARM 4KSTACKS gcc-4.1 
Parm: debug:pcnet32 debug level (int) 

parm: homepna:pcnet32 mode for 79C978 cards (1 for HomePNA, 0 for 


Ethernet, default Ethernet (array of int) 
# 


其 中 ，alias 参数 指明 了 该 网 卡 驱动 模块 对 应 的 厂商 ID、 设 备 ID 及 其 他 一 些 信息 。 例 
如 ， 以 上 显示 中 ， 第 一 个 alias 参数 的 值 是 “pci:v00001023d00002000sv*sd*bc02sc00i* ”， 表 示 
厂商 ID 是 00001023， 设 备 ID 是 00002000， 其 他 的 一 些 内 容 是 设备 的 子 型 号 ,“*” 代 表 所 有 
字符 。 这 些 表示 方法 是 和 PCI 规范 相关 的 。 此 外 ， 再 看 /lib/modules/ 2.6.18-8.el5/modules.alias 
文件 的 内 容 。 
# more /lib/modules/2.6.18-8.el5/modules .alias | grep pcnet32 
alias pci:v00001023d00002000sv*sd*bc02sc00i* pcnet32 
alias pci:v00001022d00002000sv*sd*bc*sc*i* pcnet32 
alias pci:v00001022d00002001lsv*sd*bc*sc*i* pcnet32 
# 
modules.alias 文件 的 内 容 定义 了 系统 所 检测 到 的 PCI 设备 使 用 哪些 模块 。 以 上 显示 中 ， 
第 一 行 表 示 当 Linux 检测 到 “pci:v00001023d00002000sv*sd*bc02sc00i* ”这 样 的 设备 时 ， 
将 装 入 并 使 用 pcnet32 模块 ， 这 和 前 面 看 到 的 pcnet32.ko 模块 的 信息 是 相对 应 的 。 
全 注意 ! 相对 于 Windows 系统 ，Linux 系统 支持 的 网 卡 类 型 要 少 得 多 ， 因 此 为 Linux 系统 
配备 网 卡 时 ， 需 要 确定 Linux 发 行 版 是 否 支持 该 网 卡 ， 或 者 网 卡 是 否 提供 了 支持 
Linux 的 驱动 程序 。 


5.3.3 ”诊断 网 络 层 问题 


网 卡 驱动 模块 装载 后 ， 只 要 网 络 设置 正确 ， 网 卡 接口 一 般 就 能 激活 ， 网 络 接口 层 就 
能 正常 工作 了 ， 接 下 来 就 应 该 诊断 网 络 层 是 否 有 问题 。 判 断 网 络 层 工作 是 否 正常 最 常用 
的 工具 是 ping。 如 果 ping 外 网 的 某 一 个 域名 或 卫 能 正常 连通 的 , 则 说 明 网 络 层 没 有 问题 。 
如 果 ping 不 通 ， 则 需要 确定 是 否 对 方 有 问题 或 对 方 的 网 络 设置 不 对 ping 进行 响应 ， 此 时 
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可 以 ping 多 个 也， 或 者 ping 平常 能 通 的 IP。 如 果 还 不 通 ， 则 可 能 会 是 自己 的 计算 机 有 
问题 。 


全 注意 : 为 了 避免 DNS 解析 故障 对 ping 造成 影响 ， 执 行 ping 命令 时 ， 尽 量 使 用 远程 主机 
的 IP 地 址 ， 而 不 要 使 用 域名 。 


引起 ping 不 通 的 原因 很 多 ， 可 能 会 是 网 络 线路 、 网 络 设置 、 路 由 和 ARP 等 问题 。 为 
了 找到 故障 的 原因 , 可 以 先 ping 一 下 网 关 , 看 是 否 能 通 。 因 为 网 关 肯 定 是 位 于 本 地 子 网 的 
本 机 与 网 关 的 通讯 是 直接 的 ， 不 需要 路 由 转发 。 如 果 与 网 关 能 通 ， 一 般 就 表明 网 络 线路 、 
自己 机 子 的 网 络 设置 和 ARP 都 没有 问题 。 在 Linux 中 ， 可 以 通过 route 命令 显示 路 由 表 ， 
然后 得 到 网 关 的 地 址 ， 格 式 如 下 : 


# route -n 
Kernel IP routing table 


Destination Gateway Genmask Flags Metric Ref Use Iface 
10.10.1.0 0.0.0.0 255752595255800 0 0 0 0 eth0 
169.254.0.0 0.0.0.0 25952255<0 人 U 0 0 0 eth0 
QO 0 -0 LTO-10s1=L CU UG 0 0 0 eth0 
# 


在 以 上 路 由 表 中 ， 最 后 一 行 是 默认 路 由 ， 所 有 与 前 面 路 由 不 匹配 的 数据 包 都 将 通过 这 
条 路 由 转发 到 默认 网 关 ， 网 关 地 址 是 10.10.1.1。 如 果 路 由 表 显 示 还 有 其 他 路 由 的 话 ， 也 可 
以 ping 一 下 该 路 由 的 网 关 看 是 否 能 通 。 如 果 路 由 表 中 没有 设置 默认 网 关 ， 则 表明 是 路 由 设 
置 有 问题 ， 此 时 需要 通过 route 命令 或 在 图 形 界面 中 设置 默认 网 关 。 

如 果 路 由 设置 没有 问题 ， 而 ping 默认 网 关 却 不 通 ， 在 排除 了 网 络 线路 故障 后 ， 需 要 检 
查 本 机 的 网 络 设置 是 否 正确 ， 特 别 是 IP 地 址 。 如 果 网 络 接口 设置 成 自动 获取 IP 地 址 的 ， 
需要 确认 IP 和 掩 码 是 否 已 经 正常 获取 ， 方 法 是 通过 ifeonfig 命令 查看 各 个 接口 当前 的 人 P 
地 址 和 掩 码 。 如 果 是 静态 设置 IP 的， 需要 跟 管理 员 确认 地 址 的 设置 是 否 正确 。 还 有 ， 如 果 
是 通过 拨号 上 网 的 ， 有 时 虽然 地 址 已 经 正常 得 到 ， 也 可 能 会 是 拨号 服务 器 有 问题 ， 可 以 断 
开 连 接 后 ， 重 新 拨号 试 一 下 。 

与 网 关 ping 不 通 还 有 一 种 可 能 的 原因 是 ARP 问题 。 有 时 ， 局 域 网 内 存在 ARP 攻击 或 
其 他 原因 ， 使 本 机 ARP 缓存 中 的 网 关 IP 的 MAC 地 址 是 错误 的 ， 也 会 造成 与 网 关 ping 不 
通 。 此 时 ， 可 以 使 用 “arp -d < 网 关 IP>” 命 令 删除 网 关 的 ARP 条 目 ， 或 者 如 果 知 道 网 关 
MAC 地 址 ， 通 过 “arp -a < 网 关 IP> < 网 关 MAC> ”的 形式 设置 静态 ARP 条 目 。 


5.3.4 ”诊断 传输 层 和 应 用 层 问 题 


如 果 网 络 层 是 正常 的 ， 而 网 络 服务 却 不 能 访问 ， 例 如 ， 不 能 打开 其 他 主机 的 网 站 ， 或 
者 自己 的 计算 机 配置 了 Web 服务 ， 而 其 他 计算 机 却 不 能 访问 ， 则 此 时 应 该 是 传输 层 或 应 用 
层 出 现 了 问题 。 引 起 传输 层 或 应 用 层 问 题 的 原因 很 多 ， 跟 网 络 服务 软件 是 否 工作 正常 、 网 
络 服务 本 身 的 配置 和 操作 系统 配置 等 都 有 关系 ， 要 根据 具体 的 网 络 服务 类 型 来 诊断 。 

与 操作 系统 有 关 的 一 种 可 能 的 故障 原因 是 防火 墙 配置 不 当 。 在 Linux 中 ,默认 情况 下 ， 
系统 启动 时 会 启用 iptables 防火 墙 ， 而 且 只 放行 少数 几 个 端口 。 如 果 在 本 机 上 配置 了 某 种 
服务 ， 而 这 种 服务 需要 通过 TCP 或 UDP 的 某 个 端口 才能 访问 的 ， 则 要 求 防 火 墙 要 开放 相 
应 的 端口 ， 和 否则 ， 其 他 主机 将 不 能 访问 本 机 的 这 种 服务 。 
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如 果 怀 疑 本 机 的 防火 墙 配 置 有 问题 ， 可 以 临时 通过 “iptables -F” 命 令 清除 防火 墙 的 所 
有 规则 ， 或 者 通过 “/etc/re.d/init.d/iptables stop” 命 令 停 止 防火 墙 的 运行 。 当 然 ， 如 果 是 网 


络 中 其 他 的 防火 墙 挡 住 了 访问 本 机 某 种 服务 的 数据 包 ， 则 需要 求助 于 网 络 管理 员 。 


另外 ，Linux 系统 提供 了 netstat 命令 用 于 查看 端口 的 状态 。 如 果 本 机 提供 了 某 种 网 络 


服务 ， 则 相应 的 端口 应 该 处 于 监听 状态 ， 以 便 能 够 通过 这 个 端口 为 外 界 提 供 服 务 。 例 如 
如 果 本 机 启动 了 Apache 服务 ， 而 且 使 用 的 是 默认 端口 ， 则 执行 以 下 命令 时 : 


[root@localhost ~]# netstat -anplgrep :80 
应 该 能 看 到 类 似 下 面 的 一 行 命令 : 


tcp 0 DR 有 LISTEN 3938/httpd 


» 


表示 TCP80 号 端口 由 httpd 进程 在 监听 。 如 果 没 有 这 一 行 命令 ， 则 表明 是 进程 还 没 启 


动 ， 或 者 进程 工作 不 正常 。 


诊断 传输 层 或 应 用 层 故 障 最 有 效 的 一 种 手段 是 使 用 抓 包 工具 抓 取 数据 包 进行 分 析 。 在 


Linux 系统 中 ， 默 认 提 供 了 tcpdump 工具 ， 利 用 它 可 以 抓 取 所 有 访问 本 机 或 从 本 机 出 去 


的 


数据 包 ， 并 且 可 以 通过 规则 只 抓 取 感 兴趣 的 数据 包 。 例 如 ， 下 面 的 命令 抓 取 所 有 通过 TCP 


协议 与 本 机 10.10.1.29 接口 的 80 号 端口 进行 交互 的 数据 包 。 

tcpdump host 10.10.1.29 and tcp Port 80 

如 果 本 机 启动 了 Apache 服务 ， 然 后 执行 上 述 命令 ， 则 其 他 计算 机 访问 本 机 时 ， 将 
以 看 到 类 似 下 面 的 数据 包 交 互 过 程 : 

[root@localhost ~]# tcpdump -nn host 10.10.1.29 and tcp port 80 


可 


tcpdump: verbose output suppressed, use -V or -vv for full Protocol decode 
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes 


15:11:37.481996 IP 192.169.1.146.2339 x TO LO 29000 S 
1011600904:1011600904(0) win 65535 <mss 1360,nop,nop,sackOK> 
15:11:37.484963 IP L0101.29500 > 92 ODT S 


357693526:357693526(0) ack 1011600905 win 5840 <mss 1460,nop,nop,sackOK> 
L531 3 A4998092 Tp 19224684< 46.23392>5102102129378050 CE win e553 
oll S02 EP 192U000 0 146 2339 > 1010. T2980: Pp L220 Ae 
win 65535 

i51337.505564 TP L010.1.29580 > 1921698-.1.146.2339: 。 ack 211 win 6432 


i511i:37. T740360.1IP 10510-1:29.80.> 192=168 1.146-.2340: °F L147:147(0) ack:347 
win 6432 

15:11:37.801992 TP 192.168.1.146.2340 > 10.10.1.29.80: F 347:;347(0) ack 147 
win 65389 

i151137.8602023 TP i010.61529.80: > 192-168.1.14652340: -ack 348 win 6432 
15:11:37.804074 IP 192.168.1.146.2340 > 10.10.1.29.80: . ack 148 win 65389 


通过 控制 ttpdump 命令 的 输出 ， 还 可 以 得 到 更 详细 的 数据 包 信息 。 从 这 些 数据 包 的 交 


互 过 程 或 内 容 中 ， 可 能 会 发 现 网 络 故障 的 蛛丝马迹 。 
各 说明: 抓 包 工具 也 同样 可 以 用 于 解决 网 络 层 和 网 络 接口 层 的 故障 ， 只 要 网 卡 能 收 到 数据 


帧 ， we 抓 包工 具 进 行 网 络 故障 的 诊断 。 
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5.4 小 结 


本 章 主要 介绍 了 有 关 Linux 网 络 管理 方面 的 命令 和 配置 文件 ， 以 及 Linux 常见 的 网 络 
故障 的 诊断 及 解决 方法 。Linux 系统 的 网 络 功能 非常 强大 ， 结 构 也 非常 复杂 ， 需 要 在 实践 
中 不 断 地 积累 经 验 ， 磁 到 网 络 故障 时 才能 很 快 地 找到 原因 ， 并 予以 解决 。 
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第 6 章 Linux 主机 安全 


随 着 Internet 的 普及 ， 安 全 问题 越 来 越 突 出 ， 每 一 个 使 用 计算 机 的 人 都 必须 要 有 保护 
自己 计算 机 的 意识 。 为 了 保护 计算 机 不 受 攻击 和 各 种 病毒 、 木 马 的 侵扰 ， 可 以 在 网 络 设备 
上 采取 措施 ， 对 某 些 数 据 包 进 行 阻挡 、 过 滤 ， 但 更 重要 的 是 用 户 也 要 在 自己 的 主机 上 采取 
措施 ， 保 护 自己 主机 的 安全 。 本 章 主 要 介绍 有 关 Linux 主机 安全 的 相关 知识 ， 包 括 网 络 端 
口 管理 、 系 统 自 动 升级 更 新 和 计算 机 病毒 扫描 等 内 容 。 


6.1 网 络 端 


端口 是 计算 机 网 络 中 的 一 个 重要 概念 ， 各 种 应 用 服务 器 都 需要 通过 网 络 端口 才能 为 网 
络 中 的 其 他 计算 机 提供 ， 客 户 机 也 需要 通过 端口 才能 使 用 服务 器 提供 的 服务 。 下 面 介 绍 有 
关 主机 端口 的 有 关 知 识 ， 包 括 端口 的 概念 、 在 Linux 中 如 何 查看 端口 的 状态 、 端 口 的 启用 
和 关闭 ， 以 及 端口 扫描 工具 的 使 用 。 


6.1.1 什么 是 端口 


在 使 用 网 络 过 程 中 ， 端 口 是 经 常会 听 到 的 一 个 名 词 ， 端 口 的 英语 单词 是 port， 可 以 认 
为 是 计算 机 与 外 界 通 信 交 流 的 出 入 口 。 其 中 ， 硬 件 领域 的 端口 有 USB 端口 、 串 行 端口 、 并 
行 端口 等 ， 它 们 也 是 计算 机 与 其 他 设备 连接 时 的 插口 ， 需 要 使 用 硬件 线路 进行 联接 。 但 网 
络 端口 不 属于 硬件 端口 ， 它 是 一 种 抽象 的 数据 结构 和 IO 缓冲 区 。 

网 络 端口 可 以 认为 是 传输 层 协 议 TCP 或 UDP 与 各 种 应 用 层 协议 进行 通信 时 的 一 种 通 
道 。 由 于 传输 层 要 同时 为 很 多 的 应 用 层 程序 提供 服务 ， 它 们 从 网 络 层 收 到 数据 包 后 ， 需 要 
根据 数据 包 中 包含 的 端口 号 来 判断 这 个 数据 包 是 属于 哪 一 个 应 用 程序 。 


名 说明: TCP 和 UDP 协议 的 数据 报 文 头 部 都 用 一 个 16 位 的 域 来 存放 目的 端口 号 和 源 端口 
号 ， 因 此 ， 最 大 的 端口 号 是 65535。 

每 一 个 端口 都 有 两 种 使 用 方法 。 一 种 是 由 某 个 应 用 程序 监听 某 个 端口 ， 等 待 客户 机 发 送 
数据 包 到 这 个 端口 。 一 旦 有 数据 包 到 达 , 应 用 程序 将 会 做 出 反应 。 另 一 种 使 用 方法 是 通过 某 个 
端口 主动 发 送 数据 包 到 其 他 计算 机 。 初始 状态 下 , 一 台 计 算 机 上 的 某 个 应 用 程序 如 果 想 发 送 数 
据 包 给 其 他 计算 机 ,需要 挑选 某 一 个 空闲 端口 作为 数据 包 中 的 源 端 口 值 , 其 目的 是 当 对 方 回复 
时 ， 将 把 数据 包 发 送 到 这 个 端口 ， 再 由 传输 层 把 回复 数据 包 交 给 刚才 的 那个 应 用 程序 。 
6.1.2 ”端口 的 分 类 

在 UNIX 系统 中 ，0 到 1023 号 端口 也 称 为 保留 端口 ， 它 们 一 般 是 用 于 监听 目的 的 。 默 
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认 情 况 下 ， 只 有 root 用 户 才能 使 用 这 些 保 留 端口 。 保 留 端口 中 的 大 部 分 都 分 配给 了 一 些 知 
名 的 应 用 服务 ， 也 就 是 说 ， 每 一 种 应 用 服务 默认 情况 下 监听 的 端口 号 是 固定 的 。 例 如 ，80 
号 端口 是 分 配给 使 用 HTTP 协议 的 Web 服务 器 的 ， 而 110 号 端口 则 是 分 配给 POP3 邮件 服 
务 器 。 

当然 ， 并 不 是 说 Web 服务 器 运行 时 必须 要 监听 80 号 端口 ， 这 只 是 一 种 约定 ， 目 的 是 
为 了 方便 客户 端 访问 。 因 为 不 做 这 样 一 种 约定 ， 每 一 台 Web 服务 器 都 可 能 要 监听 不 同 的 端 
口 ， 此 时 ， 客 户 端 将 无 所 适 从 ， 不 知道 要 访问 服务 器 的 哪 一 个 端口 才 是 Web 服务 。 


全 说 明 : 在 UNIX 系统 中 , 可 以 通过 查看 /etc/services 文件 的 内 容 了 解 每 一 个 端口 对 应 哪 一 
种 服务 。 


1024 号 以 上 的 端口 一 般 在 主动 发 送 数据 时 使 用 ， 而 且 所 有 的 用 户 都 可 以 使 用 。 但 是 ， 
1024 号 以 上 的 端口 也 完全 可 以 被 监听 。 某 些 服务 如 NFS 服务 、Squid 代理 服务 等 ， 默 认 监 
听 的 就 是 大 于 1024 的 端口 。 


6.1.3 ”查看 本 机 的 端口 状态 


在 网 络 和 主机 管理 过 程 中 ， 通 过 查看 网 络 端口 的 状态 ， 可 以 了 解 计 算 机 的 很 多 信息 。 
例如 ， 本 机 为 外 界 提供 了 哪些 服务 ;哪些 客户 机 正在 使 用 本 机 的 服务 ; 当前 状态 下 ， 计 算 
机 与 哪些 计算 机 存在 着 网 络 连接 等 。 在 UNIX 系统 中 ， 可 以 用 netstat 命令 了 解 网 络 端口 的 
状态 ， 命 令 格式 如 下 : 

netstat [- 选 项 1] [- 选 项 2] … 

有 关 协 议 类 的 选项 如 下 所 示 。 

口 -A < 地 址 类 型 >， 只 列 出 指定 地 址 类 型 的 端口 状态 ， 可 以 是 inet、unix、ipx 等 。 

口 -t: 只 显示 与 TCP 协议 有 关 的 连接 和 端口 监听 状态 。 

口 -u: 只 显示 与 UDP 协议 有 关 的 端口 监听 状态 。 

口 -w: 只 显示 原始 套 接口 状态 。 

如 果 不 加 以 上 选项 ， 表 示 所 有 地 址 类 型 和 协议 的 连接 和 端口 状态 都 要 列 出 。 一 般 情 况 
下 ，Linux 系统 中 存在 着 许多 UNIX 套 接 字 ， 它 们 用 于 UNIX 进程 之 间 的 通信 。 如 果 只 关 
心 TCP/P 协议 的 网 络 状态 ， 在 执行 netstat 命令 时 ， 可 以 加 上 “-tu” 选 项 ， 表 示 只 列 出 与 
TCP 和 UDP 协议 有 关 的 状态 。 或 者 加 上 “-A inet” 选 项 ， 表 示 只 列 出 INET 地 址 类 的 网 络 
状态 。 默 认 情 况 下 ， 当 执行 netstat 命令 时 ， 只 列 出 活动 的 TCP 连接 , 但 下 面 两 个 选项 可 以 

口 -1l: 显示 正在 监听 的 TCP 和 UDP 端口 。 

口 -a: 显示 所 有 活动 的 TCP 连接 ， 以 及 正在 监听 的 TCP 和 UDP 端口 。 

还 有 几 个 常用 的 netstat 命令 选项 如 下 : 

口 -n: 以 数字 形式 表示 地 址 和 端口 号 ， 不 试图 去 解析 其 名 称 。 

口 -s: 显示 所 有 协议 的 统计 信息 。 

口 -r: 显示 人 P 路 由 表 的 内 容 。 
口 
口 


-p: 显示 每 一 个 活动 连接 或 端口 的 监听 是 由 哪 一 个 进程 发 动 的 。 
-i; 显示 网 络 接口 的 统计 信息 。 
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TCP 连接 处 于 不 同 阶 段 时 ， 会 有 不 同 的 状态 值 ， 所 有 的 状态 值 如 下 所 示 。 
CLOSE_WAIT: 远 端 已 经 关闭 套 接口 ， 等 待 本 机 发 送 确认 信息 。 
CLOSED: 套 接口 已 经 关闭 ， 不 再 有 效 。 
ESTABLISHED: 套 接 口 之 间 已 经 建立 了 连接 。 
FIN_WAIT_1: 套 接口 已 经 关闭 ， 正 在 中 止 连接 。 

FIN_WAIT 2: 套 接口 已 经 关闭 ， 正 在 等 远 端 中 止 连接 。 
LAST_ACK: 远 端 套 接口 已 关闭 ， 正 在 等 待 确认 。 

LISTEN: 套 接 口 正在 等 待 连接 的 到 来 。 
SYN_RECEIVED: 已 经 从 网 络 收 到 一 个 连接 请 求 。 
SYN_SEND: 套 接口 正 尝试 去 建立 一 个 连接 。 

TIMED_WAIT: 套 接口 已 关闭 ， 等 待 处 理 还 在 网 络 中 传输 的 包 。 
下 面 看 几 个 netstat 命令 的 具体 例子 。 

# netstat -i // 列 出 所 有 接口 的 统计 信息 


Kernel Interface table 
Iface MTU Met RX-OK RX-ERR RX-DRP RX-OVR TX-OK TX-ERR TX-DRP TX-OVR Flg 


DoOoOOOOOOODODO 


eth0 1500 0 562227 0 0 0 228952 0 0 0 BMRU 
1o 16436 0 4811 0 0 0 4811 0 0 0 LRU 
# 


以 上 显示 的 各 列 中 ,MTU 和 Met 字段 表示 的 是 接口 的 MTU 和 度量 值 ; RX-OK/TX-OK 


两 列表 示 正 确 收发 的 数据 包 数 ，RX-ERR/TX-ERR 表示 收发 的 错误 数据 包 数 , RX-DRP/TX- 
DRP 表示 收发 时 丢弃 的 数据 包 数 ，RX-OVR/TX-OVR 表示 收发 时 遗失 的 数据 包 数 ，Flg 列 
表示 为 这 个 接口 设置 的 标记 ， 如 B 表示 广播 地 址 、R 表示 接口 激活 、M 表示 混杂 模式 、L 
表示 环 回 接口 等 


# netstat -tn 
Active Internet connections (w/o servers) 
Proto Recv-Q Send-Q Local Address Foreign Address State 


tcp 0 256 SEFEE(IO I0.1.29:22 :efFff:192.160-1.147:1143% ESTABLISHED 
tcp 0 0 ::ffff:10.10.1.29:80 ::ffff:10.10.91.252:1226 TIME WAIT 

tcp 0 0 EeeEtel0 i020 ttt L090 25271219 TIME WAIT 

tcp 0 0 10.10.1.29:5901 L000.25232122 ESTABLISHED 
tcp 0 0 SEE LO L29022 TELE 0 LO L223392 ESTABLISHED 
tcp 0 0 SEEEE230.10.1.29:22222EEEE 0.10.91.25233591 ESTABLISHED 
EC 0 127.0.0.1:46961 312230.0.42389 ESTABLISHED 


以 上 命令 列 出 了 所 有 TCP 协议 的 连接 状态 ， 各 列 所 表示 的 含义 如 下 所 示 。 

口 Recv-Q: 表示 还 没有 从 套 接口 复制 给 进程 的 字 节 数 。 

口 Send-Q: 表示 还 没有 被 对 方 确 认 的 字 节 数 。 

口 Local Address: 表示 参与 连接 的 本 机 网 络 接口 的 IP 地 址 和 端口 号 ， 代 表 本 机 的 一 
个 套 接 口 。 

口 Foreign Address: 表示 参与 连接 的 远程 机 网 络 接口 的 IP 地 址 和 端口 号 ， 代 表 了 远 
程 机 的 一 个 套 接口 。 

口 State: 表示 连接 的 状态 。 

# netstat -tuln 


netstat: no support for ‘AF INET (sctp)' on this system. 
Active Internet connections (only servers) 
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Proto Recv-Q Send-Q Local Address Foreign Address State 
tcp 0 0 0.0.0.0:1006 O0000:s LISTEN 
tcp 0 0 27160 0 L2207 O0000208# LISTEN 
tcp 0 0 | 3 LISTEN 
udp 0 0 0.0.0.0:32768 0.0.0.0:* 

udp 0 0 0.0.0.0:631 O00 0 


以 上 命令 列 出 了 所 有 inet 地 址 类 的 端口 监听 状态 ，Local Address 表示 正在 监听 的 本 机 
网 络 接口 和 端口 ，0.0.0.0 表示 所 有 的 网 络 接口 。Foreign Address 表示 人 允许 哪些 远程 IP 地 址 
和 端口 与 监听 的 端口 进行 连接 ，0.0.0.0 表示 所 有 的 网 络 接口 ,“*” 表 示 所 有 的 端口 。 


6.1.4 端口 的 关闭 与 启用 


6.1.3 节 介绍 了 通过 netstat 命令 来 了 解 端口 的 状态 , 下 面 将 介绍 一 下 如 何 对 端口 的 状态 
进行 干预 。 也 就 是 说 ， 某 个 开放 的 端口 如 何 关闭 ， 如 何 对 某 个 端口 进行 监听 ， 如 何 中 断 某 
个 连接 等 。 在 netstat 命令 中 ， 提 供 了 一 个 -p 选项 ， 它 可 以 列 出 与 端口 监听 或 连接 相关 的 进 
程 。 如 果 想 关闭 某 个 端口 或 者 中 断 某 个 连接 ， 只 需 中 止 对 应 的 进程 即 可 。 例 如 ， 以 下 命令 
列 出 有 关 22 号 端口 的 监听 和 连接 情况 。 


# eg ee 

Ecpu0 Os 3 LISTEN 2761/sshd 

tcp 0 48: 2 10 . 10. 1.29:22::ffff:192.168.1.147:1143 ESTABLISHED 20566/2 
tcp 0 0::£ffff:10.10.1.29:22::£ffff:10.10.91.252:3592ESTABLISHED 3669/sshd: 
root@not 

tep 0 0::f£ffff:10.10.1,.29;22;;£ffff:10.10.91.252:;3591ESTABLISHED 3637/1 

# 


可 以 看 到 ，22 号 端口 由 进程 号 为 2761 的 sshd 进行 监听 ， 而 且 本 机 IP 为 10.10.1.29 
的 网 络 接口 的 22 号 端口 与 外 界 建立 了 3 个 TCP 连接 , 一 个 连接 的 对 端 是 卫 为 192.168.1.147 
计算 机 的 1143 号 端口 ， 还 有 两 个 连接 的 对 端 是 IP 为 10.10.91.252 计算 机 的 3592 和 3591 
端口 。 为 了 中 断后 面 两 个 连接 ， 可 以 中 止 相应 进程 ， 命 令 如 下 : 

[root@localhost ~]# kill 3669 

[root@localhost ~]# kill 3637 

二 一] 间 Se -anplgrep :22 

Ecp 0 0s SE LISTEN 2761/sshd 

tcp 0 48: a OTOL Se 22::ffff:192.168.1.147:1143 ESTABLISHED 20566/2 


tcp 0 0::£ffff:10.10.1.29:22: :ffff:10.10.91.252:3592 FIN WAIT2- 
tecp 0 0::£fff:10.10.1.29:22::£ffff:10.10.91.252:3591 FIN WAIT2 - 


终止 了 进程 号 为 3669 和 3637 的 进程 后 ， 再 用 同样 的 命令 马上 查看 端口 状态 时 ， 可 以 
发 现 与 10.10.91.252 的 两 个 连接 状态 变 为 了 FIN_WAIT2， 表 示 套 接口 已 经 关闭 ， 正 等 待 对 
端 确认 中 断 连 接 。 等 若干 秒 后 再 执行 同样 的 netstat 命令 时 , 可 以 发 现 这 两 行 代码 已 经 消失 。 
同样 的 道理 , 如 果 终 止 了 2761 进程 号 的 sshd 进程 , 则 TCP22 号 端口 将 不 再 处 于 监听 状态 。 

刚才 中 断 的 两 个 连接 是 由 其 他 计算 机 主动 发 起 ， 连 接 到 本 机 的 22 号 端口 。 如 果 本 机 
主动 发 起 ， 连 接 到 远程 计算 机 的 某 一 个 端口 ， 同 样 可 以 用 上 述 方 法 中 断 连接 。 例如， 在 下 
为 10.10.1.29 的 主机 上 ， 用 下 面 的 ssh 命令 连接 到 卫 为 10.10.1.253 的 计算 机 。 
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# ssh 10.10.1.253 

root@10.10.1.253's password: 

Last login: Thu Dec 25 21:38:59 2008 from mail.wzvtc.edu.cn 
[root@radius root]# netstat -anplgrep :22 


tcp 0 OQ 0-020.0522 0.0.0.0:*#* LISTEN 1748/sshd 
tcp 0 人 05 253522 10.10.1.29:35037 ESTABLISHED 10892/sshd 
# 


以 上 执行 netstat 命令 时 ， 位 置 已 经 在 10.10.1.253 计算 机 上 ， 查 看 的 是 10.10.1.253 计 
算 机 上 有 关 22 号 端口 的 连接 情况 。 可 以 看 到 ，10.10.1.29 的 35037 端口 与 10.10.1.253 计算 
机 的 22 号 端口 建立 了 连接 。 为 了 查看 10.10.1.29 计算 机 上 的 连接 情况 ， 需 要 进入 另 一 台 与 
10.10.1.253 计算 机 连接 的 终端 ， 然 后 执行 下 面 的 命令 : 

# netstat -anplgrep :22 


tcp 0 0 10.10.1.29:35037 10.10.1.253:22 ESTABLISHED 21060/ssh 
tcp 0 人 人 之 HE LISTEN 2761/sshd 
# 


同样 可 以 看 到 这 个 连接 , 但 与 10.10.1.253 上 看 到 的 同一 个 连接 其 Local Address 与 Foreign 
Address 列 内 容 的 次 序 换 了 一 下 。 为 了 终止 这 个 连接 ， 可 以 终止 相应 的 进程 ， 命 令 如 下 ;: 
# kill 21060 


# netstat -anplgrep :22 
tcp 0 O010.1-29:35037 9 10.10.1.253:229 TIME WATT 


# 

由 于 所 中 止 的 连接 是 由 本 机 主动 发 起 的 ， 因 此 ， 马 上 查看 连接 时 可 以 看 到 此 时 的 连接 
状态 是 TIME_WAIT， 表 示 套 接口 已 关闭 ， 等 待 处 理 还 在 网 络 中 传输 的 数据 包 。 

为 了 监听 某 一 个 端口 ， 需 要 启动 相应 的 网 络 进程 。 例 如 ， 如 果 计 算 机 上 安装 了 Apache 
服务 器 软件 ， 而 Apache 服务 器 运行 时 默认 要 监听 80 号 端口 。 因 此 ， 启 动 了 Apache 进程 
后 ，80 号 端口 将 处 于 监听 状态 ， 如 下 所 示 。 

# netstat -anplgrep :80 

# apachect1 start 

# netstat -anplgrep :80 

ton 0 GE:L CE LISTEN 21117/httpd 

# 

“apachectl start” 是 启动 Apache 服务 器 进程 httpd 的 脚本 命令 ,执行 前 ， 用 netstat 命令 
查看 时 ， 没 有 看 到 80 号 端口 处 于 监听 状态 ， 执 行 后 ， 再 用 netstat 命令 查看 时 ， 就 可 以 看 
到 80 号 端口 已 经 处 于 监听 状态 了 。 监听 的 端口 号 可 以 通过 配置 文件 由 用 户 指定 ,其 他 计算 
机 连接 到 这 个 端口 时 ，Apache 服务 器 将 通过 这 个 端口 与 其 他 计算 机 建立 连接 。 


外 注意 : 如 果 自 己 的 计算 机 主动 与 其 他 计算 机 建立 连接 时 ， 端 口号 一 般 是 不 指定 的 ， 由 系 
统 依次 挑选 一 个 空闲 的 端口 。 
6.1.5 ”端口 扫描 工具 nmap 
前 面 介 绍 的 netstat 命令 可 以 查看 本 机 的 网 络 端口 状态 ， 只 要 具有 root 权限 ， 则 可 以 查 
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看 所 有 感 兴趣 的 内 容 。 但 如 果 想 通过 网 络 了 解 其 他 计算 机 端口 的 状态 ， 而 且 没 有 那 台 计算 
机 的 账号 时 ， 问 题 就 没 那么 简单 了 。 此 时 需要 通过 端口 扫描 工具 才能 做 到 ， 但 这 是 一 种 不 
可 靠 的 方法 ， 经 常会 被 对 方 的 防火 墙 挡住 ， 或 者 了 解 到 的 是 虚假 信息 。 端 口 扫描 工具 有 很 
多 种 类 ，Linux 平台 下 常用 的 是 nmap 工具 

nmap 端口 扫描 工具 是 一 个 开放 源 代 码 的 自由 软件 ， 可 以 从 http://nmap.org/ 
download.html 下 载 。 RHEL 6 发 行 版 也 提供 了 nmap 端口 扫描 工具 的 RPM 包 ， 但 默认 情况 
下 是 没有 安装 的 ， 需 要 从 DVD 光盘 上 找到 nmap-5.51-2.el6.i686.rpm 文件 ， 再 用 以 下 命令 
进行 安装 。 

[root@localhost ~]# rpm -ivh nmap-5.51-2.e16.1686.rpm 

warning: nmap-4.11-1.1.i386.rpm: Header V3 DSA signature: NOKEY, key ID 


37017186 
Preparing... | 
1:nmap 排 非 非 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 并 并 提 提 提 提 提 提 提 井 提 提 提 提 提 提 提 提 间 间 间 # [1OOS] 


[root@localhost ~]# 


安装 完成 后 ， 主 要 产生 的 是 /usr/bin/nmap 文件 ， 它 是 nmap 工具 的 命令 文件 ， 其 余 的 
文件 都 是 帮助 说 明文 件 。nmap 命令 的 格式 如 下 : 


nmap [扫描 类 型 ] [扫描 选项 ] < 目标 > 


其 中 ， 扫 描 类 型 可 以 是 以 下 儿 种 。 
口 -sT: TCP connect 扫描， 是 最 基本 的 TCP 扫描 方式 ， 在 执行 时 不 需要 root 权限 。 
口 -sS: TCP SYN 扫描 ， 通 过 向 目标 的 某 一 个 端口 发 送 TCP SYN 包 ， 然 后 根据 对 方 
不 同 的 回应 来 判断 该 端口 是 否 处 于 监听 状态 。 
-SA: TCPACK 扫描 ， 只 用 来 确定 防火 墙 的 规则 集 ， 本 身 并 不 扫描 目标 主机 的 端口 。 
-SW: 滑动 窗口 扫描 ,类似 于 ACK 扫描 , 但 是 它 可 以 检测 到 处 于 打开 状态 的 端口 。 
-sF: TCP FIN 扫描 ， 向 目标 发 送 TCP FIN 包 ， 再 根据 目标 的 响应 进行 判断 。 
-SX: TCP NULL 扫描 ， 向 目标 发 送 TCP NULL 包 ， 再 根据 目标 的 响应 进行 判断 。 
-SN: TCP Xmas 扫描 ， 向 目标 发 送 设置 了 FIN，PSH 和 URG 标志 的 包 ， 再 根据 目 
标的 响应 进行 判断 。 

口 -sP: ping 扫描 ， 向 目标 发 送 一 个 ICMP echo 和 一 个 TCPACK 包 。 如 果 有 响应 ， 则 

表明 目标 处 于 活动 状态 。 

口 -SU: UDP 扫描 ， 确 定 哪些 UDP 端口 是 开放 的 。 

口 -sR: RPC 扫描 ， 与 其 他 扫描 方法 结合 使 用 ， 用 于 确定 是 否 是 RPC 端口 。 

目标 可 以 是 某 一 主机 的 卫 地 址 ， 也 可 以 是 卫 范围 ， 或 者 整个 子 网 。 为 了 不 同 的 目的 ， 
NMAP 还 提供 了 很 多 选项 。 下 面 通 过 命令 例子 来 了 解 相关 的 内 容 。 

# nmap 10.10.1.253 // 以 默认 的 方式 扫描 10.10.1.253 主机 


OOOODO 


Starting Nmap 5.51 ( http://nmap.org ) at 2012-09-19 15:27 CST 
Interesting Ports on 10.10.1.253: 

Not shown: 1673 closed Ports 

PORT STATE SERVICE // 下 面 列 出 了 扫描 到 的 开放 端口 及 服务 名 称 
21/tcp open ftp 

22/tcp open ssh 

23/tcp open telnet 

lll/tcp open rpcbind 
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3306/tcp open mysql 
6000/tcp open X11 


32773/tcp open sometimes-rpc9 


MAC Address: 00:00:E8:95:4B:5C (Accton Technology) // 目 标的 MAC 地 址 , 本 机 与 


Nmap finished: 


# 


// 目 标 在 同一 网 段 才能 得 到 


1 IP address (1 host up) scanned in 0.256 seconds 


默认 情况 下 ，NMAP 使 用 的 是 TCP connect 扫描 方式 ， 它 以 正常 的 方式 与 目标 的 某 一 
接 。 如果 能 建立 , 就 说 明 端口 是 开放 的 。 这 种 方式 不 需要 本 机 的 root 权限 ， 
但 很 容易 被 目标 主机 检测 到 。 另 外 ， 默 认 情况 下 ，NMAP 只 扫描 TCP 端口 ， 如 果 要 扫描 
UDP 端口 ， 需 要 加 上 “-sU” 选 项 。 

由 于 TCP connect 扫描 很 容易 会 被 目标 主机 检测 到 , 为 了 使 用 更 隐蔽 的 方式 进行 扫描 ， 
可 以 采用 SYN 扫描 、 滑动 窗口 扫描 、TCP FIN 扫描 等 方式 ， 但 这 些 方式 的 可 靠 程度 要 差 一 
些 。 为 了 确定 某 一 子 网 上 有 哪些 主机 处 于 活动 状态 ， 可 以 使 用 下 面 的 命令 。 


~]# nmap -sP 10.10.91.0/24 


端口 建立 TCP 连 


[root@localhost 


Starting Nmap 4. 


CST 
Host 10. 
Ping9S)5 
Host 10. 
Host 10. 
Host 10. 
Host 10. 
Host 10。 
Host 10. 
Pings) . 


10 . 


10 . 
EO 
10. 
10. 
EOS 
10. 


9 


SLs 
9 
史 攻 : 
Ls 
gu 
9 


0 


1 
6 
2 


11 ( http://www.insecure.org/nmap/ ) at 2008-12-27 10:20 


seems to be a 


appears to be 
appears to be 
appears to be 


subnet broadcast address (returned 1 extra 


up. 
up. 
up. 


42 appears to be up. 
73 appears to be up. 
255 seems to be a subnet broadcast address (returned 1 extra 


Nmap finished: 256 IP addresses (5 hosts up) scanned in 2.381 seconds 
[root@localhost ~]# 
以 上 结果 显示 ， 该 子 网 共有 5 台 计 算 机 处 于 活动 状态 。 但 是 ， 如 果 有 些 主机 开启 了 防 
火 墙 ， 可 能 会 过 
准确 。 例 如 ， 接 着 用 以 下 命令 对 该 网 段 的 某 些 主机 进行 扫描 ， 如 果 也 能 得 到 扫描 结果 ， 表 
明 该 主机 也 是 活动 的 。 


[root@localhost ~]# nmap 


滤 掉 扫描 时 所 发 送 的 ICMP echo 和 TCP ACK 包 ， 使 得 扫描 结果 并 不 一 定 


-PO -p 4500-5000,5500-6000, 10.10.91.250-254 


Starting Nmap 4.11 ( http://nmap.org/ ) at 2012-09-19 15:31 CST 


All 1001 scanned Ports on 10.10.91.250 are 
All 1001 scanned ports on 10.10.91.251 are 
Interesting ports on 10.10.91.252: 

Not shown: 999 filtered ports 

PORT STATE SERVICE 

5800/tcp open vnc-http 

5900/tcp open vnc 

All 1001 scanned ports on 10.10.91.253 are 
All 1001 scanned ports on 10.10.91.254 are 
Nmap finished: 5 IP addresses (5 hosts up) 
[root@localhost ~]# 


filtered 
filtered 


filtered 
filtered 
scanned in 218.829 seconds 


以 上 命令 中 ，10.10.91.250-254 表示 地 址 的 范围 ，-p 选项 指定 了 端口 范围 。-P0 选项 此 


时 非常 重要 ， 它 表示 不 管 目标 主机 是 否 处 于 活动 状态 ， 
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NMAP 如 果 判 断 目标 主 机 不 处 于 活动 状态 ， 将 不 进行 扫描 。 但 由 于 种 种 原因 ， 目 标 主机 的 
活动 状态 判断 并 不 可 靠 ， 因 此 可 能 会 忽略 了 对 某 些 实际 上 是 活动 的 主机 的 扫描 ，-P0 选项 
可 以 避免 这 种 情况 。 从 以 上 结果 可 以 看 出 ， 虽 然 10.10.91.252 在 前 一 条 命令 的 结果 中 认为 
是 不 活动 的 ， 但 这 条 命令 的 结果 却 显示 5800 和 5900 端口 是 开放 的 ， 因 此 肯定 是 活动 的 计 
算 机 。 

NMAP 还 有 一 个 很 实用 的 功能 ， 就 是 能 根据 扫描 到 的 某 些 线索 猜测 目标 主机 的 操作 系 
统 类 型 ， 而 且 相 当 准 确 。 可 以 通过 -O 选项 使 用 这 项 功能 ， 它 可 以 和 一 种 端口 扫描 选项 结合 
使 用 ， 但 不 能 和 Ping 扫描 结合 使 用 。 下 面 是 几 个 判断 目标 主机 操作 系统 类 型 的 命令 例子 。 


# nmap -0O 10.10.1.253 


Running: Linux 2.4.X|2.5.X // 目标 主机 的 操作 系统 类 型 是 Linux 
0S details: Linux 2.4.0 - 2.5.20  // 具体 的 Linux 内 核 版 本 号 
Uptime 174.039 days (since Sun Jul 6 10:36:39 2008) 


// 可 以 判断 出 目标 主机 持续 工作 的 时 间 
# nmap -PO -0 10.10.91.252 


Running: IBM AIX 4.X, Microsoft Windows 2003/.NETINT/2K/XP 


// 可 能 的 操作 系统 类 型 
OS details: IBM AIX 4.3.2.0-4.3.3.0 on an IBM RS/*, Microsoft Windows 2003 


Server or XP SP2，Microsoft Windows XP SP2 // 操 作 系统 可 能 的 详细 情况 


# nmap -0 10.10.1.6 


Running: Sun Solaris 8 // 目 标 主机 的 操作 系统 类 型 是 SUN Solaris 
OS details: Sun Solaris 8 
Uptime 92.128 days (since Fri Sep 26 08:33:29 2008) 

// 目 标 主机 的 持续 工作 时 间 


# 
以 上 3 条 命令 的 猜测 结果 与 实际 情况 基本 相符 , 只 是 第 二 条 命令 多 了 一 种 IBM AIX 的 
结果 。 


且说 明 : NMAP 也 是 一 种 常用 的 网 络 安全 工具 ， 黑 客 进行 网 络 攻 击 前 ， 一 般 要 使 用 这 类 工 

具 搜索 攻击 目标 ， 搜 集 目标 主机 的 端口 信息 ， 然 后 再 进一步 采用 其 他 手段 进行 攻 

击 。 网 络 安全 管理 员 也 要 使 用 这 类 工具 对 网 络 的 安全 性 能 进行 检测 , 以 防范 攻击 。 

以 上 介绍 的 是 NMAP 命令 的 主要 功能 。 在 实际 应 用 中 ，NMAP 工具 有 很 多 的 使 用 技 
巧 ， 功 能 非常 丰富 。 


6.2 Linux 自动 更 新 


为 了 防范 来 自 网 络 的 攻击 ， 除 了 架设 防火 墙 外 ， 还 有 一 项 重要 的 工作 就 是 要 及 时 修补 
操作 系统 的 漏洞 。 大 部 分 的 Linux 发 行 版 都 会 提供 自动 更 新 软件 的 机 制 ， 可 以 让 系统 管理 
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员 非 常 方便 地 对 系统 漏洞 进行 修补 。 本 节 主 要 介绍 RHEL.6 操作 系统 软件 升级 更 新 的 方法 
及 相关 知识 。 


6.2.1 自动 更 新 的 意义 


所 有 的 计算 机 程序 ， 包 括 操作 系统 ， 都 是 由 人 设计 的 。 由 于 种 种 原因 ， 这 些 程序 编写 
时 ， 不 可 避免 地 都 会 存在 错误 。 各 种 错误 造成 的 后 果 也 是 不 一 样 的 ， 有 些 错误 只 是 浪费 了 
计算 机 资源 ， 有 些 错误 会 影响 最 终 的 结果 ， 也 有 一 些 错 误会 造成 计算 机 死机 。 其 中 ， 系 统 
漏洞 也 是 程序 错误 的 一 种 ， 它 的 存在 会 对 计算 机 的 安全 造成 很 大 的 威胁 。 

所 谓 的 系统 漏洞 ， 是 指 应 用 软件 或 操作 系统 软件 在 逻辑 设计 上 存在 缺陷 ， 或 在 代码 编 
写 时 存在 错误 ， 而 这 些 缺 陷 或 错误 可 以 被 不 法 分 子 或 黑客 利用 ， 他 们 通过 植 入 木马 、 注 入 
病毒 等 方式 来 攻击 或 控制 整个 系统 ， 从 而 窃取 计算 机 中 的 重要 资料 和 信息 ， 甚 至 破坏 整个 

当 黑 客 通过 网 络 攻 击 计算 机 时 ， 一 般 先 通过 端口 扫描 等 工具 收集 攻击 目标 的 各 种 信 
息 。 最 主要 的 是 ， 了 解 目标 主机 的 哪些 端口 是 开放 的 ， 这 些 端口 上 运行 着 什么 服务 ， 以 及 
服务 器 软件 的 类 型 及 版 本 。 如 果 发 现 某 种 服务 器 软件 存在 着 系统 漏洞 ， 则 通过 向 这 些 端口 
发 送 特定 的 数据 包 ， 就 可 以 对 目标 主机 进行 攻击 。 最 严重 的 情况 下 ， 甚 至 可 以 完全 控制 攻 
击 目标 。 

一 般 情 况 下 ， 当 某 一 种 操作 系统 或 应 用 软件 被 发 现存 在 漏洞 时 ， 软 件 的 发 行者 都 会 在 
网 络 上 发 布 公告 ， 说 明 系统 漏洞 的 原因 、 可 能 造成 的 后 果 等 内 容 ， 以 提醒 用 户 注意 。 一 般 ， 
软件 的 发 行者 还 会 提供 补丁 程序 ， 以 供用 户 下 载 安装 。 例 如 ， 下 面 就 是 一 则 有 关 Linux 系 
统 漏洞 公告 的 部 分 内 容 。 

受 影响 系统 : RedHat PXE Server 0.1 

描述 : BUGTRAO ID: 5596 

CVE (CAN) ID: CVE-2002-0835 

Red Hat Linux 是 一 款 开 放 源 代码 Linux 操作 系统 ， 包 仿 Preboot eXecution Environment 

(PXE) 服务 程序 ，PXE 用 于 从 远程 磁盘 映 象 中 启动 Linux 系统 。 

Preboot eXecution Environment (PXE) 服务 程序 对 未 预料 到 的 DHCP 包 处 理 不 正确 ， 远 程 

攻击 者 可 以 利用 这 个 漏洞 进行 拒绝 服务 攻击 。 


PXE 服务 程序 对 来 自 VOIP 电话 系统 的 DHCP 包 请 求 处 理 不 正确 ， 远 程 攻 击 者 可 以 构建 VOIP 电话 
系统 的 DHCP 请 求 包 而 导致 PXE 服务 程序 崩溃 。 


为 了 防止 黑客 利用 系统 漏洞 侵入 计算 机 ， 系 统管 理 员 需要 及 时 修补 计算 机 的 漏洞 ， 包 
括 安装 系统 补丁 程序 、 尽 可 能 地 使 用 最 新 版 本 的 软件 和 操作 系统 等 。 当 然 ， 并 不 是 所 有 的 
系统 漏洞 都 会 被 黑客 利用 ， 但 漏洞 的 存在 肯定 会 对 计算 机 的 运行 造成 不 良 的 影响 ， 都 应 该 
及 时 修补 。 

但 是 ， 如 果 采 用 手动 的 方式 修补 漏洞 ， 系 统管 理 员 的 负担 将 非常 沉重 。 因 为 一 个 实际 
的 计算 机 系统 除了 操作 系统 外 ， 肯 定 还 运行 着 很 多 的 应 用 软件 ， 特 别 是 一 些 有 网 络 功能 基 
软件 。 如 果 每 天 都 要 检查 这 些 软件 是 否 存在 系统 漏洞 或 者 补丁 程序 , 将 会 花费 很 多 的 时 间 。 
因此 ， 为 了 减轻 系统 管理 员 的 负担 ， 很 多 操作 系统 和 应 用 软件 都 提供 了 自动 更 新 的 机 制 。 
也 就 是 说 ， 一 旦 发 现 系统 漏洞 ， 软 件 的 发 行者 都 会 在 第 一 时 间 通 知 管理 员 ， 并 分 发 补丁 程 
序 ， 由 管理 员 决 定 是 否 安装 ， 或 者 直接 就 安装 。 


*100* 


第 6 章 Linux 主机 安全 


6.2.2 ”CentOS 的 yum 客户 端 配置 


CentOS 是 The Community Enterprise Operating System 的 缩写 , 其 中 文 意思 是 社区 企业 


操作 系统 。CentOS 实际 是 RHEL 的 源 代码 经 过 重新 编译 后 产生 的 ， 同 时 还 修正 了 不 少 已 
知 的 Bug， 因 此 ， 相 对 于 其 他 Linux 发 行 版 ， 它 的 稳定 性 、 安 全 性 更 好 。CentOS 的 一 个 重 
要 特点 是 提供 免费 的 yum 升级 服务 ， 由 于 RHEL 和 CentOS 在 系统 功能 、 管 理 和 操作 方式 


上 


L 乎 没有 区 别 ， 因 此 RHEL 发 行 版 也 可 以 使 用 CentOS 提供 的 这 种 升级 服务 。 


器 


Yum (Yellow dog Updater，Modified) 是 一 个 RPM 包 管 理工 具 ， 能 够 从 指定 的 服务 


自动 下 载 RPM 包 并 进行 安装 。 它 还 能 够 自动 分 析 RPM 包 之 间 的 依赖 关系 ， 当 安装 一 
RPM 包 时 ， 它 可 以 同时 将 其 所 依赖 的 其 他 RPM 包 一 起 下 载 过 来 ， 并 根据 依赖 关系 依 


次 安装 。 这 个 功能 为 用 户 带 来 了 很 大 的 方便 ， 因 为 如 果 手 工 完成 这 些 事情 ， 有 时 会 非 党 
麻烦 。 


Yum 服务 器 上 提供 的 软件 包 包 括 CentOS 和 Fedora 发 行 版 本 身 的 软体 包 ， 以 及 由 


Linux 社区 共同 维护 的 软件 包 。 这些 软 件 包 都 属于 自由 软件 ,为 了 保护 系统 的 安全 ， 所 有 
的 软件 包 都 有 一 个 独立 的 GPG 签名 。Yum 服务 器 使 用 一 种 资源 库 (repository) 的 方法 管 
理应 用 程序 之 间 的 相互 关系 ,根据 计算 出 来 的 软件 依赖 关系 进行 相应 的 升级 、 安 装 和 删 
除 等 操作 。 


RHEL 6 的 发 行 版 以 RPM 的 方式 提供 了 yum 软件 包 , 并 且 在 操作 系统 默认 安装 时 , 已 


经 安装 了 yum 包 ， 可 以 通过 下 面 的 命令 查看 : 


# rpm -qalgrep Yum 
yum-metadata-parser-1.1.2-16.e16.i686 
yum-utils-1.1.30-14.el6.noarch 
yum-3.2.29-30.el6.noarch 
PackageKit-yum-plugin-0.5.8-20.e16.i686 
yum-rhn-plugin-0.9.1-40.el6.noarch 
yum-plugin-security-1.1.30-14.el6.noarch 
PackageKit-yum-0.5.8-20.e16.i686 

# 


可 以 看 到 ,一 共有 7 个 与 yum 相关 的 软件 包 。 其 中 yum-metadata-parser-1.1.2-16.el6.i686 


包 是 供用 户 使 用 的 yum 客户 端 ， 利 用 它 可 以 与 Internet 上 的 yum 资源 库 联 系 ， 对 自己 计算 


机 . 


上 的 软件 包 进 行 升级 等 操作 。yum 客户 端 软件 包 主要 包含 了 命令 文件 /usr/bin/yum 和 主 配 


置 文件 /etcyum.conf， 初 始 的 配置 内 容 如 下 所 示 。 


# more /etc/yum.conf # 查看 /etc/yum.conf 文件 内 容 
[main] 
cachedir=/var/cache/yum/$basearch/$releasever 
keepcache=0 

debuglevel=2 

logfile=/var/log/yum.1log 

exactarch=1 

obsoletes=1 

gpgcheck=1 

plugins=1 

installonly limit=3 


# This is the default, if you make this bigger yum won't see if the metadata 
# is newer on the remote and so you'll "gain" the bandwidth of not having 
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to 

# download the new metadata and "pay" for it by yum not having correct 

# information. 

# It is esp. important, to have correct metadata, for distributions like 
# Fedora which don't keep old packages around. If you don't like this checking 
interupting your command line usage, it's much better to have something 
manually check the metadata once an hour (yum-updatesd will do this). 
metadata expire=90m 


PUT YOUR REPOS HERE OR IN separate files named file.repo 
in /etc/yum.repos.d 


井 间 大 厅 埋 埋 


为 了 使 用 yum 客户 端 ,最 关键 的 是 要 设置 好 YUM 资源 库 的 有 关 选 项 , 然后 才能 用 yum 
命令 管理 系统 中 的 RPM 包 。 当 yum-metadata-parser-1.1.2-16.e16.i686 包 安 装 完 成 后 ， 在 
/etc/yum.repos.d 目录 下 提供 了 一 个 默认 的 资源 库 配 置 文件 ， 其 文件 名 是 rhel-source.repo， 
内 容 如 下 : 

[root@localhost yum.repos.d]# more rhel-source.repo 

[rhel-source] 

name=Red Hat Enterprise Linux S$releasever - $basearch - Source 

baseurl=ftp://ftp.redhat.com/pub/redhat/linux/enterprise/$releasever/en 

/os/SRPMS/ 

enabled=0 


gpgcheck=1 
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-redhat-release 


以 上 文件 中 指定 的 资源 库 是 由 Red Hat 公司 提供 的 , 需要 收费 注册 后 才能 使 用 。Intemet 
上 有 很 多 免费 的 yum 资源 库 ，DAG 就 是 其 中 的 一 个 ,其 主页 地 址 是 http://dag.wieers.com/。 
为 了 使 用 DAG 提供 的 yum 资源 库 ， 需 要 从 http://dag.wieers.com/rpm/packages/rpmforge- 
release/ 处 下 载 一 个 合适 的 rpmforge 软件 包 ， 例 如 rpmforge-release-0.5.2-2.el6.rfi686.rpm， 
然后 用 以 下 命令 进行 安装 。 


# rpm -ivh rpmforge-release-0.5.2-2.e16.rf.i686.rpm 

warning: rpmforge-release-0.5.2-2.e1l6.rf.i686.rpm: Header V3 DSR/SHR1 

Signature, key ID 6b8d79e6: NOKEY 

Preparing... 非 提 拓 大 拓 大 提 提 提 提 提 提 提 拓 提 提 提 提 提 提 并 拓 大 振 拓 拓 拓 拓 拓 拓 提 提 提 并 提 提 提 提 提 提 提 ## [1OOS] 
1:rpmforge-release 间 非 间 提 非 间 提 捍 提 提 提 提 提 提 提 划 提 提 提 划 提 提 提 提 提 提 提 提 提 提 提 提 提 间 井 间 提 间 井 间 ### 井 [1]OOSS] 

# 


安装 完成 后 ， 会 在 /etc/yum.repos.d 目录 出 现 rpmforge.repo 文件 ， 其 中 包含 了 使 用 
rpmforge 资源 库 的 配置 ， 其 内 容 如 下 所 示 。 


[root@localhost yum.repos.d]# more rpmforge.repo 

### Name: RPMforge RPM Repository for RHEL 6 - dag 

### URL: http://rpmforge.net/ 

[rpmforge] 

name = RHEL S$releasever - RPMforge.net - dag 

baseurl = http://apt.sw.be/redhat/el6/en/$basearch/rpmforge 
mirrorlist = http://apt.sw.be/redhat/el6/en/mirrors-rpmforge 
#mirrorlist = file:///etc/yum.repos.d/mirrors-rpmforge 
enabled = 1 

Protect = 0 
gpgkey = file:///etc/pki/rpm-gpg/RPM-GPG-KEY-rpmforge-dag 
gpgcheck = 工 


ss 
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以 上 配置 中 ，baseurl 和 mirrorlist 选项 指出 了 yum 资源 库 在 Intemet 上 的 位 置 ， 可 以 把 


这 两 个 选项 的 注释 符 “# ”去 掉 以 指 定 更 多 的 资源 库 。gpgkey 选项 指定 了 公 钥 文件 ， 用 于 
检验 从 资源 库 下 载 的 软件 包 的 完整 性 ， 它 也 是 由 rpmforge 软件 包 提供 的 。 


6.2.3 yum 客户 端的 使 用 


yum 的 基本 操作 包括 软件 的 安装 、 升 级 、 外 载 以 及 一 些 查询 功能 。 第 一 次 使 用 yum 或 


yum 资源 库 有 更 新 时 , yum 会 自动 下 载 所 有 的 更 新 信息 到 /var/cache/yum 目录 ,此 时 所 需 的 
时 间 可 能 会 比较 长 。yum 的 命令 格式 如 下 : 


作 。 


yum [选项 ] [动作 ] [软件 包 名 称 ] 


常用 的 选项 如 下 所 示 。 

口 -t: 处 理 多 个 软件 包 时 ， 忽 略 前 面 的 错误 ， 继 续 处 理 后 面 的 软件 包 。 

口 -c [config file]: 指定 配置 文件 的 路 径 和 名 字 。 

口 -y: 所 有 的 询问 均 以 y 回答 。 

口 --noplugins: 禁用 插件 。 

“动作 ”是 yum 的 主要 内 容 ， 其 名 称 和 含义 如 下 所 示 。 

install: 安装 指定 的 软件 包 。 

update: 更 新 指定 的 软件 包 。 

checkupdate: 检查 哪些 软件 包 可 以 更 新 。 

remove: 删除 指定 的 软件 包 。 

search: 搜索 指定 的 软件 包 。 

list， 列 出 所 有 软件 包 的 名 称 和 版 本 ， 类 似 于 rpm -qa 的 执行 结果 。 

info: 列 出 所 有 软件 包 的 名 称 、 版 本 及 说 明 ， 类 似 于 rpm -qai 的 执行 结果 。 
clean: 清除 /var/cache/yum 目录 中 下 载 的 内 容 。 

此 外 ， 还 可 以 用 grouplist、groupinstall、groupupdate 等 动作 对 一 组 软件 包 进 行 相应 操 
下 面 是 一 些 yum 命令 的 例子 。 

示 僵 1 : 


OOOOOOODDO 


yum -Y install gcc 

功能 :安装 gece 软件 包 及 其 所 依赖 的 所 有 软件 包 。 

示例 2: 

yum check-update 

功能 : 检查 可 以 更 新 的 rpm 包 。 

示例 3: 

yum update 

功能 : 更 新 所 有 的 rpm 包 ， 如 果 网 络 速 度 不 够 快 ， 这 个 命令 将 需要 很 长 的 执行 时 间 。 
示例 4: 


Yum update kernel kernel-source 


wa 
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功能 : 只 更 新 指定 的 kernel 和 kernel source 两 个 RPM 包 。 
示例 5: 

Yum remove gcc 
功能 :删除 gcc 包 以 及 所 有 依赖 它 的 包 。 
示例 6: 


Yum clean all 


功能 : 清除 缓存 中 的 头 文件 和 包 文件 。 


示例 7: 

Yum list 

功能 ， 列 出 资源 库 中 所 有 可 以 安装 或 更 新 的 软件 包 。 
示例 8: 


Yum info mozilla 

功能 : 列 出 资源 库 中 mozilla 软件 包 的 说 明 信 息 。 
示例 9: 

Yum search mozilla 

功能 : 在 资源 库 中 搜索 含有 mozilla 关键 字 的 软件 包 。 
示例 10: 


Yum grouplist 


功能 : 列 出 可 安装 的 软件 包 组 。 | 

另外 ,在 RHEL 6 中 ,也 可 以 通过 图 形 界面 使 用 yum。 ET 
其 方法 是 选择 “系统 ”|“ 管 理 ” |“ 软 件 更 新 ”命令 ， 如 
图 6-1 所 示 。 然 后 就 会 执行 yum 的 更 新 功能 ， 从 配置 文 
件 指定 的 资源 库 中 获取 更 新 信息 , 再 提醒 用 户 进行 更 新 ， 
如 图 6-2 所 示 。 


从 有 和 
1 交管 理 吕 
区 内 术 崩 涡 转 俏 
© HM 


此 外 ， 系 统 默认 安装 的 yum-updatesd-3.0.1-5.el5 包 i 
还 提供 了 自动 更 新 的 功能 ， 可 以 用 以 下 命令 查看 一 下 有 用 和 
关 yum 的 进程 ， 如 下 所 示 。 图 6-1 选择 软件 包 更 新 工具 菜单 
# ps -eaflgrep yum 
root 2890 1 0 16:42 ? 00:00:01/usr/bin/python/usr/sbin/yum-updatesd 
root 4158 3988 0 20:08 pts/3 00:00:00 grep yum 
# 


/usr/sbin/yum-updatesd 是 一 个 Python 语言 编写 的 程序 。 它 的 功能 是 定期 从 yum 资源 库 
查看 最 新 的 软件 包 更 新 信息 ， 并 以 日 志和 Email 等 方式 通知 管理 员 ， 配 置 文件 是 
/etc/yum/yum-updatesd.conf， 里 面 定 义 了 检查 的 时 间 间 隔 ， 是 否 自 动 下 载 更 新 等 内 容 。 
yum-updatesd 进程 可 以 通过 /etc/re.d/init.d/yum-updatesd 脚本 启动 或 停止 。 
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全 检查 更 新 .… 


软件 更 新 可 更 正 软 件 中 的 错误 、 修补 安 全 漏洞 以 及 提供 新 特性 * 


图 6-2 软件 包 更 新 工具 界面 


6.3 Linux 平台 的 防毒 软件 


目前 Windows 平台 上 最 严重 的 一 个 安全 问题 是 计算 机 病毒 的 侵扰 , 但 在 Linux 平台 上 ， 
问题 却 相 对 要 轻 得 多 ， 针 对 Linux 系统 的 病毒 非常 少 ， 造 成 的 危害 也 远 没 有 Windows 系统 
那么 严重 。 但 这 并 不 意味 着 Linux 系统 可 以 对 病毒 掉以轻心 。 本 节 主 要 介绍 Linux 平台 下 
的 病毒 防范 知识 以 及 clamav 反 病 毒 软件 的 安装 、 配 置 和 使 用 方法 。 


6.3.1 Linux 平台 下 的 计算 机 病毒 


计算 机 病毒 是 一 种 能 够 自我 复制 、 恶 意 的 程序 代码 ， 它 或 者 独立 存在 ， 或 者 插入 到 正 
常 的 程序 代码 中 ， 执 行 时 会 造成 数据 损坏 、 影 响 计算 机 使 用 等 后 果 。Windows 平台 下 的 计 
算 机 病毒 非常 多 ， 可 以 说 到 了 泛滥 成 灾 的 程度 。 幸 运 的 是 ，Linux 平台 虽然 也 存在 计算 机 
病毒 ,但 严重 程度 远 不 如 Windows 平台 ， 这 主要 是 以 下 几 个 原因 ， 使 得 Linux 系统 对 计算 
机 病毒 具有 很 强 的 抵抗 能 力 。 

第 一 个 原因 是 Linux 系统 具有 严格 的 用 户 权限 机 制 , 一 个 刚刚 创建 的 用 户 其 权限 很 小 ， 
对 系统 中 大 部 分 的 文件 没有 写 的 权限 。 因 此 ， 即 使 病毒 成 功 地 感染 了 这 个 用 户 拥有 的 一 个 
程序 文件 ， 但 由 于 这 个 用 户 权限 不 够 ， 它 进一步 传播 病毒 的 能 力 非常 有 限 。 
第 二 个 原因 是 Linux 系统 下 的 网 络 服务 程序 构建 得 很 保守 , 没有 像 Windows 那样 具有 
使 病毒 快速 传播 成 为 可 能 的 高 级 宏 工 具 。 而 且 大 部 分 的 网 络 程序 开发 时 ， 都 考虑 如 何 使 程 
序 本 身 的 问题 尽 可 能 小 地 影响 操作 系统 。 例 如 ， 大 部 分 的 网 络 程序 其 主要 部 分 都 是 由 一 个 
权限 相对 很 小 的 用 户 运行 的 ， 这 样 ， 即 使 程序 有 漏洞 ， 病 毒 也 无 法 利用 ， 因 为 运行 程序 的 
户 对 系统 中 绝 大 部 分 的 文件 没有 访问 权限 。 

第 三 个 原因 是 Linux 系统 本 身 以 及 上 面 运行 的 系统 和 应 用 软件 几乎 都 是 开源 的 ， 这 就 
使 得 病毒 很 难 藏身 于 开源 的 代码 中 间 。 而 且 ， 一 次 新 的 编译 安装 就 可 以 把 其 中 的 二 进 制 的 
病毒 清除 ,虽然 Linux 发 行商 也 大 量 提供 二 进 制 软件 包 , 但 由 于 大 都 具有 md5 的 验证 机 制 ， 
因此 安全 性 极 高 。 

由 于 Linux 系统 的 上 述 特 点 ， 使 得 计算 机 病毒 即使 存在 ， 但 是 想 要 快速 传播 ， 却 是 非 


sys 
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常 困难 的 。 但 这 并 不 意味 着 使 用 Linux 系统 就 可 以 高 枕 无 忧 ， 一 个 精心 制作 并 有 技术 上 创 
新 的 病毒 也 有 可 能 会 给 Linux 系统 带 来 很 大 的 和 危害。 另外， 计算 机 系统 之 间 的 集成 越 来 越 
紧密 ,虽然 Linux 系统 本 身 没有 感染 病毒 , 但 却 可 能 工作 在 充满 病毒 的 环境 中 。 具 体 来 说 ， 
由 于 以 下 几 个 原因 ， 经 常 需要 在 Linux 系统 中 安装 反 病毒 软件 。 

口 通过 Linux 系统 扫描 计算 机 上 的 Windows 文件 是 否 有 病毒 ; 

口 通过 Linux 系统 扫描 本 地 网 络 中 的 Windows 计算 机 是 否 有 病毒 ; 

口 在 Linux 系统 中 扫描 即将 发 送 给 别人 的 文件 是 否 有 病毒 ; 

口 在 Linux 系统 中 扫描 将 要 发 送 给 别人 的 Email 是 否 有 病毒 。 


全 说 明 : 例如 ， 当 Linux 由 于 提供 了 Samba 等 服务 而 成 为 网 络 文件 服务 器 时 ， 将 有 可 能 成 
为 Windows 病毒 传播 与 繁殖 的 基地 .此 时 ,需要 在 Linux 系统 中 安装 反 病 毒 软件 ， 
才能 阻止 Windows 病毒 通过 Linux 系统 传播 。 


6.3.2 ”Clamav 反 病 毒 软件 的 获取 与 安装 


日 前 ，Linux 平台 下 只 有 较 少 的 反 病 毒 解决 方案 ， 但 数量 正在 逐渐 地 增加 。 与 其 他 类 
型 的 软件 一 样 ，Linux 反 病 毒 软件 也 有 开源 软件 ， 免 费 软件 ， 以 及 商业 软件 之 分 。 下 面 介 
绍 一 种 名 为 Clamav 的 开放 源码 的 反 病 毒 软件 ， 它 是 一 种 以 命令 方式 工作 的 查 毒 软件 ， 主 
要 用 来 防护 一 些 Windows 病毒 和 木马 程序 。Clamav 只 能 查 出 计算 机 内 的 病毒 ， 但 无 法 清 
除 它 ， 即 没有 杀毒 功能 。 

Clamav 反 病 毒 软 件 的 主页 是 http://www.clamav.net， 可 以 从 该 网 站 直接 下 载 源 代码 ， 
再 进行 编译 安装 ， 目 前 最 新 版 本 是 0.97.6。 另 外 ， 网 站 http://rpmfind.net 还 提供 了 Clamav 
在 RHEL 6 下 安装 的 RPM 包 ， 其 文件 名 是 clamav-0.97.5-63.fec17.i686.rpm。 把 这 个 文件 下 
载 到 RHEL 6 中 以 后 ， 可 以 通过 以 下 命令 进行 安装 。 在 安装 该 软件 包 时 有 些 依赖 关系 ， 这 
里 可 以 用 yum 来 安装 。 

# rpm -ivh clamav-0.97.5-63.fc17.i686.rpm 

#yum install clamav-0.97.5-63.fc17.i686.rpm 

Clamav 软件 包 主 要 包含 两 个 程序 文件 ,它们 均 位 于 /usr/bin 目录 中 。 一 个 名 为 clamscan， 
主要 用 于 检查 文件 中 是 否 含有 病毒 。 另 一 个 是 freshclam， 它 用 于 更 新 Clamav 的 病毒 库 ， 
其 配置 文件 是 /etc/freshclam.conf。 此 外 ， 还 有 很 多 关于 Clamav 的 说 明文 件 安装 在 
/usr/share/doc/clamav-0.97.6 目录 中 。 

clamav-db 软件 包 主 要 包含 了 病毒 库 ， 同 时 还 在 /etc/cron.daily/ 目 录 下 提供 一 个 名 为 
freshclam 的 脚本 程序 。 它 每 天 都 能 定时 执行 ， 以 便 对 病毒 库 进 行 更 新 。 另 外 ， 在 
/var/log/clamav 目录 下 还 有 包含 了 clamav 病毒 库 的 更 新 日 志 , 日 志文 件 名 是 freshclam.log。 


6.3.3 ”Clamav 反 病 毒 软件 的 使 用 


clamscan 命令 用 于 扫描 文件 和 目录 ， 以 发 现 其 中 包含 的 计算 机 病毒 。 需 要 注意 的 是 ， 
clamscan 命令 除了 扫描 Linux 系统 的 病毒 外 , 主要 扫描 的 还 是 文件 中 包含 的 Windows 病毒 。 
另外 ，clamscan 命令 如 果 发 现 某 一 文件 包含 病毒 ， 并 不 能 清除 该 病毒 ， 但 可 以 对 文件 进行 
删除 或 移动 处 理 。clamscan 命令 的 格式 如 下 : 


“106。 
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clamscan [选项 ] [路 径 ] [文件 ] 


可 以 指定 要 求 扫描 的 文件 ， 文 件 名 可 以 使 用 “*”“?” 等 通配符 ， 文 件 前 面 也 可 以 指 
定 一 个 路 径 。 常 用 的 选项 如 下 所 示 。 

口 --quiet: 使 用 安静 模式 ， 仅 仅 打印 出 错 信息 。 

口 -i: 仅仅 打印 被 感染 的 文件 。 

口 -d < 文件 >: 以 指定 的 文件 作为 病毒 库 ， 以 代替 默认 的 /var/clamav 目录 下 的 病毒 库 
文件 。 

口 -d < 目录 >: 以 指定 目录 中 的 .cvd 和 .db[2] 文 件 作为 病毒 库 文 件 ， 以 代替 默认 的 
/var/clamav 目录 下 的 病毒 库 文 件 。 

口 -1< 文 件 >:， 指定 日 志文 件 ， 以 代替 默认 的 /varlog/clamav/freshclam.log 文件 。 

口 -r: 递归 扫描 ， 即 扫描 指定 目录 下 的 所 有 子 目 录 。 

口 --move=< 目 录 >: 把 感染 病毒 的 文件 移 到 指定 的 目录 。 

口 --remove: 删除 感染 病毒 的 文件 。 

下 面 是 几 个 有 关 clamscan 命令 的 例子 。 

示例 1: 


clamscan /bin/uame 


功能 :扫描 指定 的 单个 文件 。 


示例 2: 

clamscan 

功能 : 扫描 当前 目录 下 的 所 有 文件 。 
示例 3: 


clamscan -r /home 

功能 : 扫描 /home 目录 下 的 所 有 文件 和 子 目 录 。 

示例 4: 

clamscan -d /tmp/newclamdb -r /tmp 

功能 :以 /tmp/newclamdb 文件 或 /tmp/newclamdb 目录 中 的 所 有 cvd 文件 为 病毒 库 ， 扫 


描 /tmp 目录 下 的 所 有 文件 和 子 目录 。 
示例 5: 


cat testfile | clamscan - 

功能 : 扫描 一 个 数据 流 。 

示例 6: 

clamscan -r /var/spool/mail 

功能 : 扫描 邮箱 目录 ， 以 查找 包含 病毒 的 邮件 。 

clamscan 命令 执行 完成 后 ， 将 显示 本 次 扫描 的 一 些 摘要 信息 ， 如 下 所 示 。 


# clamscan /usr/* 
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/usr/bin/gnome-wm: OK 


/usr/bin/which: OK 
/usr/bin/unzip: OK 


----------- SCAN SUMMARY ----------- 


Known viruses: 486811 # 病毒 库 中 的 病毒 种 类 数 
Engine version: 0.94.2 # 引擎 版 本 

Scanned directories: 14 # 扫描 的 目录 数 
Scanned files: 2821 # 扫描 的 文件 数 
Infected files: 0 # 被 感染 的 文件 数 

Data scanned: 342.52 MB # 总 的 扫描 字 节 数 
Time: 72.712 sec (1 m 12 s) # 花费 的 总 时 间 

# 


clamscan 命令 相对 简单 ,非特 权 用 户 也 可 以 使 用 clamscan 命令 , 但 需要 注意 权限 情况 。 
首先 要 保证 能 读 取 被 扫描 的 文件 ， 如 果 使 用 删除 或 移动 带 病毒 文件 的 选项 时 ， 还 要 有 相应 
的 写 权限 。 


6.3.4 以 后 台 进 程 方式 运行 Clamav 反 病 毒 软件 


6.3.3 节 介绍 了 clamscan 命令 的 使 用 方法 ， 实 际 上 ， 当 需要 对 系统 进行 实时 监控 时 ， 
Clamav 反 病 毒 软件 也 可 以 在 后 台 以 守护 进程 的 方式 运行 。 具体 作法 是 再 安装 一 个 名 为 
clamd-0.97.5-2.el6.rfi686.rpm 的 软件 包 ， 该 软件 包 也 可 以 从 http://rpmfind.net 下 载 ， 然 后 通 
过 以 下 命令 进行 安装 。 

# rpm -ivh clamd-0.97.5-2.e16.rf.i686.rpm 

Preparing... 排 非 提 提 提 提 并非 提 提 提 提 提 提 提 提 提 提 提 提 提 提 并 提 提 提 并 提 提 提 井 提 提 间 提 提 提 间 提 井 井 # 间 [了 OO 名] 

1:clamd 非 非 提 拓 大 提 提 大 提 提 拓 大 提 提 拓 拓 提 非 提 提 大 提 提 提 非 提 提 提 提 提 拓 拓 提 提 提 提 提 提 提 # 提 # [OOS] 

安装 完成 后 ， 将 出 现 以 下 文件 : 
/etc/clamd.conf: clamd 进程 的 配置 文件 ; 
/etc/logrotate.d/clamav: 配置 日 志 轮 动 方式 的 文件 ; 
/etc/re.d/init.d/clamd: clamd 进程 的 启动 脚本 ; 
/usrbin/clamconf: 查看 clamd 进程 和 病毒 更 新 的 当前 配置 ; 
/usr/bin/clamdscan: clamd 进程 的 客户 端 工具 ; 
/usr/sbin/clamd: clamd 进程 的 命令 文件 ; 
/varlog/clamav: 存放 clamd 日 志 的 目录 ; 
/var/run/clamav: 存放 进程 PID 文件 的 目录 。 

此 外 ，clamd 软件 包 还 包含 一 些 说 明文 件 和 手册 页 文件 。clamdscan 是 通过 clamd 进程 
实现 查 毒 功能 的 ， 与 clamscan 命令 的 功能 基本 上 一 样 。clamd 进程 的 运行 状态 取决 于 配置 
文件 /etc/clamd.conf 的 内 容 ， 现 对 该 文件 的 初始 内 容 作 以 下 解释 。 

配置 1: 


LogFile /var/log/clamav/clamd.1log 


OOOOOOODO 


功能 :指定 日 志文 件 为 /var/log/clamav/clamd.log。 
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配置 2: 
LogFileMaxSize 0 

功能 : 指定 日 志文 件 的 大 小 ，0 表示 没 限制 ， 默 认 是 1MB。 

配置 3: 

LogTime yes 

功能 : 当 记 录 日 志 时 包含 时 间 域 。 

配置 4: 

LogSyslog yes 

功能 : 使 用 系统 logger 进程 记录 日 志 ， 可 以 与 Logfile 指令 同时 使 用 。 
配置 5: 

PidFile /var/run/clamav/clamd.pid 

功能 : 指定 进程 PID 文件 的 位 置 。 

配置 6: 

TemporaryDirectory /var/tmp 

功能 : 指定 临时 文件 存放 的 目录 为 /var/tmp。 

配置 7: 

DatabaseDirectory /var/clamav 

功能 : 指定 病毒 库 文件 的 位 置 在 /var/clamav 目录 。 

配置 8: 

LocalSocket /tmp/clamd.socket 

功能 :指定 与 其 他 进程 通信 时 的 套 接口 文件 。 

配置 9: 

FixStaleSocket yes 

功能 ， 非 正常 关机 时 修复 套 接口 文件 。 

配置 10: 


TCPSocket 3310 


功能 :允许 客户 机 的 clamdscan 命令 连接 时 ， 指 定 TCP 监听 端口 为 3310。 


配置 11: 


TCPAddr 127.0.0.1 


功能 : 允许 客户 机 的 clamdscan 命令 连接 时 ， 只 能 从 127.0.0.1 接口 连接 。 
配置 12: 


MaxConnectionQueueLength 30 
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功能 : 指定 客户 端的 同时 连接 数 最 大 是 30。 

配置 13: 

MaxThreads 50 

功能 : 指定 最 大 的 线程 数 是 50。 

配置 14: 

ReadTimeout 300 

功能 ， 等 待 客户 端 传输 数据 的 最 大 超时 时 间 是 300 秒 。 

配置 15: 

User clamav 

功能 : 运行 clamd 进程 的 用 户 身份 是 clamav。 但 clamd 进程 必须 以 root 用 户 身份 启动 。 

配置 16: 

AllowSupplementaryGroups yes 

功能 : 允许 附加 的 用 户 组 访问 。 

配置 17: 

ScanPE yes 

功能 : 需要 扫描 PE 文件 。PE 是 Windows 系统 下 的 一 种 可 执行 文件 格式 ， 该 选项 要 求 
clamav 对 PE 文件 作 深度 的 分 析 ， 并 对 常见 的 可 执行 压缩 包 进 行 解压 。 

配置 18: 

ScanELF yes 

功能 :需要 扫描 ELF 文件 。 

配置 19: 

DetectBrokenExecutables yes 

功能 :该 选项 使 clamav 尝试 去 检测 被 破坏 的 可 执行 文件 (包括 PE 和 ELF)， 并 作 上 
标志 。 

配置 20: 

ScanOLE2 yes 

功能 : 需要 扫描 OLE2 文件 ， 它 是 一 种 文档 文件 ， 如 Otce 文档 或 .msi 文件 。 

配置 21: 

ScanMail yes 

功能 ， 对 邮件 进行 扫描。 

配置 22: 


ScanRrchive yes 


功能 : 解 开 压缩 归档 文件 再 进行 扫描 。 
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配置 23: 


ArchiveBlockEncrypted no 


功能 : 不 把 加 密 的 压缩 文件 标记 为 有 病毒 。 
除了 上 述 配置 选项 外 ,还 有 其 他 一 些 配置 内 容 ， 可 以 通过 “man clamd.conf” 命 令 参见 
其 手册 页 。 为 了 运行 clamd 进程 ， 可 以 输入 以 下 命令 。 


# /etc/rc.d/init.d/clamd start 
Starting Clam AntiVirus Daemon: [确定 ] 
# 


clamd 进程 启动 后 ,使 用 方法 可 以 有 两 种 ,一 种 是 通过 clamdscan 命令 ， 它 是 clamd 进 
程 的 客户 端 工 具 ， 其 命令 格式 与 clamscan 基本 上 一 样 ， 而 且 大 部 分 clamscan 命令 的 选项 
clamdscan 命令 也 能 够 接受 。 但 clamd 进程 经 常 忽略 这 些 选项 ， 因 为 它 是 根据 配置 文件 
clamd.conf 的 内 容 进行 工作 的 。clamdscan 命令 是 通过 UNIX 套 接口 与 clamd 进程 进行 通 
信 的 。 

另 一 种 方法 是 通过 TCP 端口 向 clamd 进程 发 送 命令 .在 初始 配置 中 , 已 经 指定 了 clamd 
监听 的 TCP 端口 号 是 3310， 绑 定 的 IP 地址 是 127.0.0.1， 因 此 ， 可 以 通过 telnet 等 网 络 连 
接 工 具 与 其 进行 连接 ， 再 发 送 命令 。 例 如 : 

# telnet 127.0.0.1 3310 

myn 2 

Connected to localhost.localdomain (127.0.0.1). 

Escape character is '^]'. 

SCAN /home/abc/link 

/home/abc/link: OK 


Connection closed by foreign host. 
# 


“SCAN /home/abc/link ”是 连接 成 功 后 向 clamd 进程 发 送 的 命令 ， 表 示 要 扫描 
/home/abc/link 文件 。clamd 进程 完成 该 命令 后 ， 将 关闭 连接 。 除 了 SCAN 命令 外 ， 还 可 以 
使 用 以 下 一 些 命 令 。 

口 RELOAD: 重新 装载 病毒 数据 库 ; 

口 SHUTDOWN: 终止 clamd 进程 ; 

口 SESSION: 开始 一 个 会 话 ， 以 后 可 以 执行 多 个 命令 。 否 则 ， 命 令 执行 完成 后 即 关 

闭 连接 ; 

口 END: 结束 会 话 。 

所 有 clamd 进程 支持 的 命令 可 以 通过 “man clamd” 命 令 查看 手册 页 获得 。 此 外 ， 如 果 
在 配置 文件 中 绑 定 了 其 他 网 络 接口 ， 则 可 以 在 其 他 计算 机 通过 telnet 命令 对 clamd 进程 发 
送 命令 ， 实 现 远程 控制 的 功能 。 

名 注意 : 由 于 clamd 进程 是 由 clamav 用 户 运行 的 ,不 管 在 什么 情况 下 ， 要求 clamd 进程 扫 
描 的 文件 对 clamav 用 户 来 说 都 必须 要 能 够 访问 。 

除了 使 用 命令 方式 扫描 病毒 外 ，clamd 还 提供 了 名 为 LibClamAV 的 运行 库 文件 ， 可 以 
非常 容易 、 高 效 地 集成 到 其 他 软件 中 。 最 常见 的 一 种 应 用 是 与 邮件 服务 器 进行 集成 ， 以 便 
对 用 户 通过 该 邮件 服务 器 收发 的 邮件 进行 病毒 扫描 。 
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6.3.5 ”Clamav 病毒 库 的 更 新 


由 于 计算 机 病毒 层出不穷 ， 而 且 每 天 都 可 能 有 新 的 计算 机 病毒 出 现 。 因 此 ， 提 供 查 毒 
软件 的 机 构 必 须 不 断 地 向 病毒 库 中 添加 新 的 病毒 样本 ， 才 能 保证 其 查 毒 软件 的 实用 性 。 对 
于 用 户 来 说 ， 需 要 及 时 从 相应 的 机 构 下 载 最 新 添加 的 病毒 样本 ， 并 更 新 自己 的 病毒 库 ， 才 
能 保证 所 使 用 的 查 毒 软件 能 够 发 现 最 新 的 病毒 .Clamav 也 不 例外 ,需要 及 时 更 新 /var/clamav 
目录 下 的 病毒 数据 库 。 

clamav 病毒 数据 库 的 更 新 主要 由 /usr/bin/freshclam 命令 完成 。 为 了 方便 用 户 , clamav-db 
软件 包 除 了 提供 包含 已 知 病毒 的 病毒 库 外 ， 还 提供 了 一 种 病毒 库 的 更 新 机 制 ， 可 以 按照 要 
求 定期 调用 freshclam 命令 ， 自 动 地 从 clamav 主 网 站 下 载 最 新 的 病毒 样本 ， 并 添加 到 
/var/clamav 目录 。 freshclam 命令 的 配置 文件 是 /etc/freshclam.conf, 当 freshclam 命令 执行 时 ， 
将 从 配置 文件 中 读 取 配置 内 容 ， 再 根据 这 些 配 置 内 容 做 相应 的 操作 。 下 面 对 
/etc/freshclam.conf 文件 的 初始 内 容 作 一 下 解释 ， 其 中 “#” 开 头 的 是 被 注释 的 选项 。 

配置 1: 


DatabaseDirectory /var/clamav 

功能 :指定 病毒 样本 数据 库 日 录 为 /var/clamav。 

配置 2: 

UpdateLogFile /var/log/clamav/freshclam.1og 
功能 ， 指 定 病毒 样本 库 更 新 日 志文 件 的 位 置 与 名 称 是 /var/log/clamav/freshclam.log。 
配置 3: 

#LogFileMaxSize 2M 

功能 : 指定 最 大 的 日 志文 件 字 节 数 ， 默 认 是 1Mbps。 
配置 4: 

#LogTime yes 

功能 :指定 是 否 在 日 志文 件 中 记录 时 间 ， 默 认 是 no。 
配置 5; 

#LogVerbose yes 

功能 : 是 否 记录 详细 的 日 志 ， 默 认 是 no。 

配置 6: 

LogSyslog yes 

功能 : 是否 同 时 使 用 系统 日 志 ， 默 认 是 no。 

配置 7: 


#LogFacility LOG MAIL 


功能 : 使 用 系统 日 志 时 ， 指 定 日 志文 件 的 目的 位 置 ， 默 认 是 LOG_ LOCAL6。 
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配置 8: 
#PidFile /var/run/freshclam.pid 
功能 :指定 进程 PID 文件 的 位 置 和 名 称 ， 默 认 不 产生 。 
配置 9: 
DatabaseOwner clamav 
功能 ;指定 病毒 样本 数据 库 的 文件 主 用 户 是 clamav。 
配置 10: 
#AllowSupplementaryGroups yes 
功能 : 允许 额外 的 用 户 组 访问 ， 默 认为 no。 
配置 11: 
#DNSDatabaseInfo current.cvd.clamav.net 
功能 : 使 用 DNS 记录 检查 clamav 版 本 时 ， 指 定 DNS 服务 器 的 地 址 。 
配置 12: 
#DatabaseMirror db.XY.clamav.net 
功能 : 为 某 一 国家 提供 下 载 病毒 样本 库 的 镜像 网 站 ，XY 要 用 国家 域名 代替 ， 但 该 域 
名 不 一 定 存在 ， 是 为 了 保留 以 后 使 用 。 
配置 13: 


DatabaseMirror db.cn.clamav.net 
DatabaseMirror db.local.clamav.net 


功能 ， 指 定 下 载 病 毒 样本 库 的 镜像 网 站 。 

配置 14: 

#MaxAttempts 5 

功能 :， 当 下载 病毒 样本 库 时 ， 如 果 不 能 连接 ， 重 试 的 次 数 。 
配置 15: 

#ScriptedUpdates yes 

功能 :是否 使 用 脚本 命令 进行 更 新 ， 默 认为 yes。 
配置 16: 

#CompressLocalDatabase no 

功能 :是否 压缩 本 地 的 病毒 样本 数据 库 ， 默 认为 no。 
配置 17: 


#Checks 24 


功能 : 每 天 更 新 病毒 样本 数据 库 的 次 数 ， 默 认 是 每 天 12 次 。 
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配置 18: 

#LocalIPAddress aaa.bbb.ccc.ddd 

功能 绑 定 某 一 个 网 络 接口 。 

配置 19: 

NotifyClamd /etc/clamd.conf 

功能 : 病毒 样本 数据 库 更 新 完成 后 ， 发 送 RELOAD 命令 给 clamd 进程 ， 以 便 clamd 
进程 能 重新 装载 病毒 样本 。 

配置 20: 

#OnUpdateExecute command 

功能 : 指定 病毒 样本 数据 库 更 新 成 功 时 自动 执行 的 命令 。 

配置 21: 

#O0nErrorExecute command 

功能 :指定 病毒 样本 数据 库 更 新 失败 时 自动 执行 的 命令 。 

配置 22: 

#0nOutdatedExecute command 

功能 : 当 freshclam 报告 有 新 版 软件 时 执行 的 命令 。 

配置 23: 

#Foreground yes 

功能 : 指定 是 否 一 直 在 前 台 运行 ， 默 认为 no。 

配置 24: 

#ConnectTimeout 60 

功能 : 指定 与 病毒 样本 数据 库 服务 器 连接 时 的 超时 时 间 。 

配置 25: 

#ReceiveTimeout 60 

功能 : 指定 从 病毒 样本 数据 库 服务 器 接收 数据 时 的 超时 时 间 。 

配置 26: 

#SubmitDetectionStats /path/to/clamd.conf 

功能 : 是 否 向 ClamAV 项 目 组 提交 病毒 扫描 结果 ， 默 认为 no。 

配置 27: 

#DetectionStatsCountry country-code 

功能 : 指定 提交 病毒 扫描 结果 时 的 国家 代码 ， 默 认 是 根据 客户 机 IP 地 址 确定 的 。 


以 上 是 freshclam.conf 文件 初始 内 容 的 解释 ,更 多 的 内 容 可 参见 该 文件 的 手册 页 。 另 外， 
配置 文件 中 大 部 分 的 选项 都 可 以 在 执行 feshclam 命令 时 指定 , 此 时 将 覆盖 掉 配 置 文件 中 相 
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应 的 配置 。 可 以 手动 执行 freshclam 命令 , 此 时 将 马上 从 指定 的 病毒 样本 数据 库 服务 器 或 其 
镜像 处 下 载 最 新 的 病毒 样本 。 但 一 般 情况 下 ， 该 命令 是 由 cron 进程 定时 调用 的 ， 为 此 ， 
clamav-db 软件 包 还 在 /etc/cron.daily 目录 提供 了 一 个 名 为 freshclam 的 脚本 文件 。 其 去 掉 原 
有 注释 后 的 内 容 如 下 : 


# more /etc/cron.daily/freshclam 
#!/bin/sh 
LOG FILE="/var/log/clamav/freshclam.1log" 
if [ ! -£f "$L0G FILE" ]; then 

touch "“$LOG FILE" 

chmod 644 "$LOG FILE" 

chown clamav.clamav "$LOG FILE" 


和 
/usr/bin/freshclam \ 
--quiet \ # 所 有 需要 用 户 确定 的 选择 都 采用 默认 值 ， 不 再 向 用 户 提问 
--datadir="/var/clamav" \ # 指定 病毒 样本 数据 库 目 录 为 /var/clamav 
--10g="$LOG FILE" \ # 指定 日 志文 件 为 $LOG FILE， 即 
/var/log/clamav/freshclam.1log 
--log-verbose \ # 使 用 详细 日 志 
--daemon-notify="/etc/clamd.conf"  # 通知 clamd 进程 病毒 样本 库 更 新 完成 ， 并 
指定 其 配置 文件 的 位 置 


以 上 脚本 要 由 crond 进程 定期 调用 ， 其 功能 是 首先 检查 日 志文 件 /var/log/clamav/ 
freshclam.log 是 否 存在 ， 如 果 不 存 在 ， 将 予以 创建 ; 然后 执行 /usr/bin/freshclam 命令 ， 其 所 
有 的 选项 含义 见 注释 。 


全 注 意 : freshclam 命令 的 选项 将 履 盖 掉 freshclam.conf 文 件 中 相应 的 配置 。 


6.4 ” SELinux 简介 


SELinux( Security-Enhanced Linux, 安全 增强 的 Linux ) 是 美国 国家 安全 局 (The National 
Security Agency) 和 SCC (Secure Computing Corporation) 共同 开发 的 一 个 增强 Linux 安全 
性 能 的 访问 控制 模块 ， 是 一 种 称 为 Fluke 的 安全 构架 在 Linux 内 核 中 的 实现 ， 于 2000 年 以 
GNU GPL 的 形式 发 布 。 下 面 介绍 有 关 SELinux 的 基本 情况 ， 包 括 SELinux 的 工作 流程 、 
配置 方法 和 一 个 简单 的 应 用 例子 。 


6.4.1 ” SELinux 的 工作 流程 


SELinux 是 采用 LSM (Linux Security Modules) 方式 集成 到 Linux 2.6.x 内 核 的 安全 构 
架 ， 为 Linux 系统 提供 了 MAC,， 它 是 一 种 柔性 的 强制 访问 控制 方式 。 传 统 的 Linux 使 用 的 
是 一 种 随意 的 访问 控制 方式 一 一 DAC， 在 这 种 方式 下 ， 某 一 用 户 运 行 的 应 用 或 进程 拥有 该 
户 的 所 有 权限 ， 可 以 访问 这 个 用 户 能 访问 的 文件 、 套 接口 等 对 象 。 而 采用 MAC 的 内 核 
可 以 保护 系统 免 受 一 些 错误 的 或 恶意 的 应 用 程序 对 系统 的 破坏 。 

SELinux 为 系统 中 的 每 一 个 用 户 、 应 用 、 进 程 和 文件 定义 访问 权力 ， 然 后 把 这 些 实体 
之 间 的 交互 定义 成 安全 策略 ， 再 用 安全 策略 来 控制 各 种 操作 是 否 允 许 。 初 始 时 ， 这 些 策略 
是 根据 RHEL 6 安装 时 的 选项 来 确定 的 。 
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如 图 6-3 所 示 ， 当 进程 等 访问 者 向 系统 提出 对 文件 等 访问 对 象 的 访问 请 求 时 ， 位 于 内 
核 的 策略 增强 服务 器 收 到 了 这 个 请 求 ， 就 到 访问 向 量 缓存 AVC (Access Vector Cache) 中 
查找 是 否 有 有 关 该 请 求 的 策略 。 如 果 有 ， 就 按照 该 策略 来 决定 是 否 允 许 访 问 ， 如 果 没 有 ， 
就 继续 要 求 安全 增强 服务 器 到 访问 策略 矩阵 中 查找 是 否 有 有 关 该 请 求 的 策略 。 如 果 有 人 允许 
访问 的 策略 ， 就 允许 访问 ， 和 否则， 将 禁止 访问 ， 并 把 “avc denied ”类 型 的 日 志 写 到 
/var/log/messages 文件 中 。 


/var/log/messages 


Fave:denicd 


访问 者 | 访问 请 求 是 访问 对 象 
(进程 等 ) 由 | (文件 等 ) 


安全 增强 
服务 器 


图 6-3_SELinux 工作 流程 图 


图 6-3 所 示 的 是 强制 启用 SELinux 后 的 工作 过 程 。 实 际 上 ， 在 RHEL 6 中 ， 有 关 是 否 
使 用 SELinux 有 3 种 选择 。 第 一 种 是 强制 使 用 ， 此 时 违反 访问 许可 的 访问 将 被 禁止 。 第 二 
种 是 随意 (permissive )， 此 时 SELinux 还 是 起 作用 的 ， 但 即使 违反 了 访问 许可 ， 还 是 可 以 
继续 访问 , 只 是 会 留 下 日 志 , 这 种 模式 在 开发 阶段 比较 有 用 。 第 三 种 是 禁用 ,此 时 SELinux 

SELinux 为 系统 管理 提供 了 加 强 系 统 安全 的 手段 , 利用 它 可 以 细 化 Linux 的 安全 设置 ， 
根据 需要 使 用 严格 的 或 宽松 的 安全 策略 。 


全 说 明 : 对 于 普通 用 户 来 说 ， 可 能 感觉 不 到 SELinux 的 存在 。 因 为 普通 用 户 使 用 具有 安全 
增强 功能 的 Linux 时 ， 与 使 用 普通 的 Linux 没有 区 别 。 


访问 策略 矩阵 一 一 


6.4.2 SELinux 的 配置 

在 RHEL 6 中 ， 有 一 个 与 /proc 类 似 的 /selinux 目录 ， 它 也 是 一 个 伪 文 件 系 统 ， 里 面包 
含 了 SELinux 工作 时 的 各 种 信息 。 一 般 情况 下 ， 管 理 员 和 一 般 用 户 都 不 能 对 该 目录 中 的 文 
件 进 行 写 入 等 操作 ， 但 可 以 查看 一 下 该 目录 和 其 中 的 文件 内 容 。 


[root@localhost selinux]# ls 


access checkreqprot context enforce mls relabel 
aVC commit pending bools create load null User 
booleans compat net disable member policyvers 


[root@localhost selinux]# 


上 面 列 出 的 文件 可 以 提供 有 关 SELinux 的 信息 。 例 如， 如 果 用 cat 命令 查看 enforce 文 
件 的 内 容 ， 如 果 是 1， 表 示 此 时 SELinux 是 强制 使 用 的 ， 如 果 是 0， 则 表示 是 随意 方式 。 
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在 RHEL 6 中 ， 可 以 有 两 种 方式 配置 SELinux。 一 种 是 使 用 配置 文件 ， 在 /etc/sysconfig 
目录 下 有 一 个 selinux 文件 , 它 实际 上 是 一 个 到 /etc/selinux/config 的 链接 文件 , 而 /etc/selinux 
目录 包含 了 所 有 的 有 关 SELinux 的 配置 文件 。/etc/selinux/config 文件 的 初始 内 容 如 下 : 

[root@localhost selinux]# more config 


# This file controls the state of SELinux on the system. 
# SELINUX= can take one of these three values: 


# enforcing - SELinux security policy is enforced. 
# Permissive - SELinux Prints warnings instead of enforcing. 
# disabled - SELinux is fully disabled. 


SELINUX=permissive 

# SELINUXTYPE= type of policy in use. Possible values are: 

# targeted - Only targeted network daemons are protected. 
# strict - Full SELinux protection. 

SELINUXTYPE=targeted 

[root@localhost selinux]# 


它 实际 上 只 包含 了 两 项 设置 , 一 项 是 SELINUX 选项 的 值 , 可 以 是 enforcing、 permissive 
和 disabled 3 个 值 ， 分 别 表示 强制 、 随 意 和 禁用 SELinux 3 种 选择 。 另 一 个 选项 是 
SELINUXTYPE, 它 可 以 是 targeted 和 strict 两 个 值 。 targeted 表示 只 针对 特定 的 守护 进程 进 
行 保护 ， 默 认 时 包括 dhcpd、httpd 在 内 的 9 个 守护 进程 ， 用 户 也 可 以 自己 选择 进程 。strict 
表示 针对 所 有 的 守护 进程 进行 保护 。 

另 一 种 配置 SELinux 的 方法 是 使 用 图 形 界面 方式 。 在 RHEL 桌面 环境 下 ,选择 “应 用 
程序 ”|“ 系 统 工 具 ”|“ 终 端 ” 命令 ， 将 出 现 一 个 终端 窗口 ， 然 后 在 终端 中 输入 
system-config-selinux 命令 ， 将 出 现 如 图 6-4 所 示 的 窗口 ， 此 时 可 以 进行 大 部 分 SELinux 方 
面 的 配置 。 


文件 (E) 帮助 (H) 


mt leer 
布尔 值 当前 应 用 模式 。 | 强制 
文件 标记 
用 户 映 射 系统 默认 的 第 略 类 型 : | targeted 
SELinux 用 户 
网 络 端口 
第 略 模 块 
进程 域 


< ce 


多 TB 重新 标记 。 


图 6-4” ”SELinux 配置 窗口 


此 外 ， 还 可 以 使 用 setenforce 命令 选择 是 否 使 用 SELinux， 用 getsebool 和 setsebool 命 
令 分 别 查看 和 设置 SELinux 中 的 布尔 变量 等 。 
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6.4.3 SELinux 应 用 示例 


在 SELinux 中 ， 可 以 使 用 MLS 和 MCS 两 种 MAC，MLS 也 称 为 多 级 安全 模式 ， 它 可 
以 对 系统 中 的 信息 进行 分 级 管理 , 使 不 同安 全 级 别 的 信息 严格 地 隔离 。MCS 也 称 为 类 别 安 
全 模式 ， 它 允许 用 户 对 文件 等 对 象 做 上 标签 ， 以 便 能 对 它们 进行 分 类 管理 。 下 面 介绍 有 关 
MCS 的 内 容 。 

1. 建立 用 户 关 联 


SELinux 有 自己 的 一 套用 户 标识 ， 与 Linux 系统 的 用 户 标识 是 分 离 的。 在 RHEL 6 默 
认 的 targeted 策略 中 ， 只 存在 9 个 SELinux 用 户 ， 可 以 用 以 下 命令 列 出 SELinux 用 户 。 


[root@mysql2 桌面 ]# semanage user -1 


标记 MLS/ MLS/ 
SELinux 用 户 前 红 McCS 级 别 MCS 范围 SELinux 角色 
git shell u user s0 s0 git shell r 
guest u user s0 s0 guest r 
root user s0 s0-s0:c0.c1023staff r sysadm r system r unconfined r 
staff u user s0 s0-s0:c0.c1023 staff r sysadm r system r unconfined r 
sysadm u user s0 s0-s0:c0.cl023sysadm r 
System u user s0 s0-s0:c0.cl023system r unconfined r 
unconfined u user s0 s0-s0:c0.c1023 system r unconfined r 
user u user s0 s0 User rt 
xguest _u user s0 s0 xguest r 


为 了 使 Linux 的 普通 用 户 与 SELinux 的 user_u 用 户 建立 联系 ， 执 行 以 下 命令 。 


# semanage login -a zhangs 
# semanage login -a lisi 


zhangs 和 lisi 是 Linux 系统 中 的 普通 用 户 ， 执 行 了 上 述 命 令 后 ， 以 后 登录 时 ，; 
SELinux 的 user u 用 户 产生 联系 ， 可 以 用 以 下 命令 查看 结果 。 


# semanage login -1 


Login Name SELinux User MLS/MCS Range 
defaulte user u s0 

114s3 user u s0 

root root SystemLow-SystemHigh 
zhangs user u s0 

# 


可 以 发 现 ， 用 户 zhangs 和 lisi 已 经 与 user_u 建立 联系 。 
2. 配置 类 别 


在 SELinux 中 ， 类 别 有 两 种 表示 方法 ， 一 种 是 由 系统 识别 的 ， 使 用 的 是 一 些 代号 ; 另 
一 种 是 可 以 供 人 阅读 的 字符 串 。 需 要 一 种 机 制 把 这 两 种 表示 方法 联系 起 来 ， 这 个 任务 是 由 
配置 文件 setrans.conf 承担 的 。 首 先 看 一 下 当前 的 类 别 情况 : 

[root@mysql2 ~]# chcat -L 

s0 SystemLow 
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s0-s0:c0.c1023 SystemLow-SystemHigh 

s0:c0.c1023 SystemHigh 

[root@localhost selinux]# 

可 以 看 到 ， 目 前 有 3 种 类 别 ， 左 边 列 出 的 是 类 别 代 号 ， 右 边 是 对 应 的 类 别名 称 。 这 些 
内 容 实际 上 是 在 /etec/selinux/targeted/setrans.conf 文件 中 指定 的 ,如 果 接 下 来 在 该 文件 中 加 入 
以 下 内 容 ， 表 示 要 添加 Marketing 和 Personnel 两 个 类 别 ， 代 号 分 别 是 s0:cl 和 s0:c2。 


s0:cl=Marketing 
Ss0:c2=Personnel 


然后 再 执行 chcat -L 命令 : 


# chcat -L 

s0 SystemLow 
s0=805c0.c1023 SystemLow-SystemHigh 
s0:c0.c1023 SystemHigh 

s0:c1 Marketing 

s0:c2 Personnel 


可 以 发 现 ，Marketing 和 Personnel 两 种 类 别 已 经 添加 。 为 了 使 添加 的 类 别 在 系统 中 生 
效 ， 需 要 执行 以 下 命令 。 

# service mcstrans restart 

表示 要 重启 mcstrans 服务 。 

3. 把 类 别 分 配给 用 户 

类 别 创建 完成 后 ， 就 可 以 把 类 别 分 配给 与 SELinux 用 户 建立 联系 的 Linux 用 户 了 。 再 
假设 用 户 zhangs 是 在 市 场 部 的 ， 用 户 lisi 是 在 人 力 资源 部 的 ， 则 执行 以 下 命令 ， 把 上 面 的 
两 个 类 别 分 别 分 配给 这 两 个 用 户 。 


root@localhost selinux]# chcat -1 -- +Marketing zhangs 
root@localhost selinux]# chcat -1 -- +Personnel lisi 


可 以 用 以 下 命令 列 出 zhangs 和 lisi 用 户 所 分 到 的 类 别 。 
root@localhost selinux]# chcat -L -1 zhangs lisi 
zhangs: Marketing 


lisi: Personnel 
root@localhost selinux]# 


当然 , 如 果 Linux 中 还 有 一 个 用 户 如 wang， 也 已 经 与 user_u 用 户 建 立 了 联系 ,可 以 使 
以 下 命令 同时 把 Marketing 和 Personnel 两 个 类 别 分 配给 wang。 


[root@localhost selinux]# chcat -1 -- +Marketing,+ Personnel zhangs 
需要 注意 的 是 ， 当 类 别 分 配给 用 户 后 ， 该 用 户 只 有 在 下 一 次 登录 时 才能 生效 。 
4. 把 类 别 分 配给 文件 


除了 可 以 把 类 别 分 配给 用 户外 ， 还 可 以 把 类 别 分 配给 文件 ， 使 这 些 文件 只 能 给 分 到 同 
一 种 类 别 的 用 户 使 用 。 假 设 zhangs 用 户 在 自己 的 主 目录 中 执行 以 下 命令 创建 了 一 个 名 为 
abc.txt 的 文件 。 
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zhangs@localhost ~]$ echo "Beijing Olympic 2008" > abc.txt 


然后 用 “ls -Z” 命 令 查看 该 文件 初始 的 安全 上 下 文 。 
zhangs@localhost ~]$ ls -2 


-rw-rw-r-- zhangs zhangs user u:object r:user home 七 abc.txt 
zhangs@localhost ~]$ 


此 时 ，abc.txt 还 没有 分 到 类 别 ， 可 以 用 以 下 命令 把 Personnel 类 别 分 配给 abc.txt 文件 。 


$ chcat -- +Personnel abc.txt 


zhangs@localhost ~ 


名 注意 : zhangs 自己 不 属于 Personnel 类 别 。 


然后 再 查看 abc.txt 文件 的 安全 上 下 文 : 
[zhangs@localhost ~]$ 1s -2 


-rw-rw-r-- zhangs zhangs user u:object r:user home t:Personnel abc.txt 
[zhangs@localhost ~]$ 


可 以 发 现 , abc.txt 已 经 得 到 了 Personnel 类 别 。 由 于 zhangs 自己 不 属于 Personnel 类 别 ， 


而 abc.txt 文件 属于 Personnel 类 别 。 因 此 ， 按 照 SELinux 规定 ，zhangs 是 不 能 使 用 abc.txt 
文件 的 。 现 zhangs 执行 以 下 命令 查看 abc.txt 的 内 容 : 


[zhangs@localhost ~]$ cat abc.txt 
Beijing Olympic 2008 
[zhangs@localhost ~]$ 


zhangs 之 所 以 可 以 查看 abc.txt 的 内 容 ， 是 因为 现在 SELinux 处 于 “随意 ”方式 ， 此 时 


会 在 /var/log/messages 文件 中 留 下 日 志 记 录 ， 可 以 让 root 用 户 马 上 查看 日 志 。 


Feb 1 22:22:03 localhost setroubleshoot: 
/bin/cat fromusing potentiallymislabeled files (abc.txt). 
SELinux messages. run sealert -1 c6aflfda-f4b0-4a77-8ale-d185d1lf1b721 


root@localhost home]# tail /var/log/messages 


SELinux is preventing the 
For complete 
root@localhost home]# 


可 以 发 现 ， 日 志 中 已 经 留 下 了 关于 SELinux 阻止 cat 命令 查看 abc.txt 文件 的 记录 。 如 


果 root 用 户 用 以 下 命令 使 SELinux 处 于 强制 使 用 方式 。 


root@localhost ~]# setenforce 1 


则 zhangs 用 户 再 次 查看 abc.txt 文件 时 ， 将 不 会 成 功 。 


zhangs@localhost ~]$ cat abc.txt 
cat: abc.txt: Permission Denied 
zhangs@localhost ~]$ 


a 


以 上 通过 一 个 简单 的 例子 介绍 了 SELinux 的 初步 使 用 。 有 关 SELinux 的 配置 和 应 月 
常 复杂 ， 感 兴趣 的 读者 可 以 参考 其 他 有 关 资 料 。 
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6.5 站 结 


保证 主机 安全 是 Linux 服务 器 能 正常 提供 网 络 服务 的 基础 , 如 果 不 能 保证 主机 的 安全 ， 
则 无 论 服务 器 配置 得 如 何 完善 ， 都 可 能 会 因为 受到 攻击 等 原因 影响 工作 。 本 章 首先 讲述 了 
与 主机 安全 密切 相关 的 网 络 端口 知识 ， 包 括 端口 的 概念 、 端 口 状态 的 查看 、 端 口 的 关闭 和 
启用 ,以 及 端口 的 扫描 等 。 然 后 介绍 RHEL 的 更 新 机 制 以 及 使 用 yum 更 新 系统 与 应 用 软件 
的 方法 。 最 后 介绍 了 Linux 系统 下 有 关 防 治 病 毒 的 知识 及 SELinux。 
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日 志 记 录 了 系统 每 天 发 生 的 各 种 各 样 的 事件 ， 对 于 解决 计算 机 系统 的 故障 和 保证 系统 
的 安全 来 说 非常 重要 。 用 户 可 以 通过 日 志 来 了 解 系统 运行 的 状态 ， 检 查 各 种 错误 发 生 的 原 
因 ， 或 者 寻找 攻击 者 留 下 的 痕迹 。 下 面 介 绍 Linux 操作 系统 中 有 关 日 志 的 情况 ， 包 括 日 志 
类 型 、 日 志 管理 、 日 志 监 测 和 分 析 等 内 容 。 


7.1 Linux 系统 日 志 基 础 


Linux 系统 包含 了 很 多 与 日 志 有 关 的 软件 包 。 通 过 这 些 软件 包 可 以 对 日 志 进行 记录 、 
管理 、 分 析 、 监 测 等 操作 。 其 中 ， 最 基本 的 系统 日 志 功 能 是 由 syslog 软件 包 实现 的 ， 它 记 
录 了 内 核 和 Linux 系统 最 关键 的 日 志 。 下 面 介 绍 有 关 syslog 的 运行 、 配 置 和 日 志 的 查看 等 
内 容 。 

7.1.1 Linux 系统 日 志 进 程 的 运行 

日 志 是 保障 Linux 系统 安全 的 重要 手段 。 通 过 审计 和 监测 系统 日 志 可 以 及 时 发 现 系 统 
故障 ， 检 测 和 追踪 入 侵 ， 并 为 系统 出 错时 能 恢复 正常 工作 提供 重要 帮助 。RHEL 6 提供 了 
syslog 一 种 日 志 功 能 ， 用 于 记录 常规 的 日 志 。 默 认 情 况 下 ， 这 个 软件 包 已 经 安装 ， 可 以 用 

# rpm -qa | grep syslog 

rsyslog-5.8.10-2.e16.i686 

# ps -eaf | grep syslog 

root 1744 1 0 15:07 ? 00:00:00 /sbin/rsyslogd -i /var/run/syslogd.pid -c 5 

root 8635 "9394 0 19324 pts/2 00:00:00 grep rsyslog 

可 见 ，syslog 软件 包 已 经 安装 ， 而且 syslog 进程 都 已 经 在 运行 。 可 以 利用 /etc/re.d/init.d 
目录 下 的 脚本 文件 rsyslog 启动 、 停 止 或 重启 这 两 个 进程 ， 命 令 格式 如 下 : 


/etc/rc.d/init.d/rsyslog [start|stoplrestart] 
由 于 日 志 对 系统 来 说 至 关 重 要 ， 一 般 开 机 时 都 应 该 自动 运行 ， 而 且 中 途 不 应 该 停止 。 
7.1.2 Linux 系统 日 志 配置 


日 志 进 程 syslog 的 配置 文件 是 /etc/rsyslog.conf， 它 的 内 容 决 定 了 系统 日 志 记录 哪些 内 
采取 什么 动作 等 。rsyslog.conf 是 典型 的 UNIX 配置 格式 ， 每 行 包含 一 项 配置 内 容 ，“#?” 
注释 符 ， 其 后 的 字符 将 被 忽略 ， 空 行 和 空格 也 被 忽略 。 每 一 行 的 格式 如 下 : 

设备 名 .级 别 ] [; 设 备 名 .级 别 ]… [位 置 ] 


癌 或 
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必须 用 TAB 键 分 隔 。 另 外 ， 设 备 名 还 可 以 是 多 个 ， 


进行 区 分 。 常 见 的 日 志 级 别 如 表 7-2 所 示 。 


可 以 有 多 个 “设备 名 .级 别 ”， 它 们 之 间 用 “;” 分 隔 ,“ 设 备 名 .级 别 ” 和 “位 置 ”之 间 
它们 之 间 用 “,” 分 隔 。 设 备 名 是 指 产 
生日 志 的 设备 或 程序 名 称 ,常见 的 日 志 设 备 名 称 如 表 7-1 所 示 。“ 级 别 ” 是 指 日 志 的 紧急 程 


度 ， 例 如 ， 有 些 日 志 只 是 一 般 的 信息 提示 ， 有 些 可 能 要 马上 处 理 的 ， 它 们 之 间 要 通过 级 别 


表 7-1 常见 的 日 志 设 备 名 称 


日 志 设 备 名 称 用 途 
authpriv 认证 用 户 时 ， 如 login 或 su 等 命令 执行 时 产生 的 日 志 
cron 系统 定期 执行 任务 时 产生 的 日 志 
daemon 某 些 守护 程序 ， 如 in.ftpd， 通 过 syslog 发 送 的 日 志 
kem 内 核 活动 进 产 生 的 日 志 信息 
lpr 有 关 打 印 机 活动 的 日 志 信息 
mail 处 理 邮 件 的 守护 进程 发 出 的 日 志 信息 
mark 定时 发 送 消息 时 程序 产生 的 日 志 信息 
news 新 闻 组 守护 进程 发 送 的 日 志 信息 
user 本 地 用 户 的 应 用 程序 产生 
uucp uucp 子 系统 产生 的 日 志 信息 
local0-local7 由 自 定义 程序 使 用 
表 7-2 常见 的 日 志 级 别 
日 志 级 别 说 明 
emerge 最 高 的 一 种 日 志 级 别 ， 表 示 出 现 了 紧急 情况 ， 需 要 马上 处 理 ， 与 panic 同 义 
alert 出 现 了 紧急 状况 
crit 问题 比较 严重 ， 到 了 临界 状态 了 
err 出 现 了 错误 信息 
warning 给 出 了 一 些 和 警告， 继续 运行 的 话 可 能 会 出 错 
notice 出 现 了 不 正常 现象 ， 可 能 需要 检查 
info - 般 性 的 提示 信息 
debug 系统 处 于 调试 状态 时 发 出 的 信息 


在 表 7-2 中 ， 所 列 日 志 级 别 的 紧急 程度 依次 下 降 ， 在 具体 使 用 时 ， 要 遵循 向 上 匹配 的 
原则 。 例如， 在 配置 文件 中 ，mail.err 表示 发 送 到 mail 日 志 设 备 的 级 别 等 于 或 高 于 err 的 日 
志 。 如 果 级 别 为 debug， 则 意味 着 所 有 级 别 的 日 志 都 要 记录 。 另 外 ， 可 以 使 用 “=” 表 示 只 
记录 某 一 种 级 别 的 日 志 ， 而 不 是 向 上 匹配 。 例 如 ,“kern.=alert” 表 示 向 kern 日 志 设 备 发 送 


级 别 等 于 alert 的 日 志 。 


还 有 ， 可 以 用 通配符 “*” 表 示 所 有 的 日 志 设备 和 日 志 级 别 ， 也 可 以 用 none 表示 忽略 
全 部 。 例 如 ，daemon.* 表 示 把 所 有 级 别 的 日 志 发 送 到 daemon 设备 ，*.emerg 表示 把 emerg 
级 别 的 日 志 发 送 到 所 有 设备 ， 而 kern.none 表示 忽略 所 有 的 内 核 日 志 。 

syslog.conf 配置 行 中 的 “位 置 ”表示 符合 条 件 的 日 志 产 生 后 ， 将 把 这 些 日 志 发 送 到 什 


么 地 方 。 例 如 ， 可 以 把 这 些 日 志 发 送 到 用 户 的 终端 ， 


也 可 以 记录 到 某 一 个 特定 的 文件 ， 或 


"ls 
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者 把 日 志 信息 传输 到 网 络 中 的 另 一 台 主机 等 ， 具 体 的 位 置 名 称 如 表 7-3 所 示 。 
表 7-3 ”常用 的 日 志 位 置 


日 志 位 置 说 明 
文件 名 把 日 志 信息 保存 到 本 地 的 文件 中 ， 文 件 必 须要 给 出 绝对 路 径 
林 把 日 志 信息 发 送 给 所 有 当前 有 用 户 登 录 的 终端 上 
用 户 列表 把 日 志 信息 发 送 给 某 些 用 户 ， 用 户 名 之 间 用 “,” 分 隔 
/dev/console 把 日 志 信 息 发 送 到 控制 台 
@ 主 机 名 或 全 地 址 把 日 志 信息 发 送 到 远程 主机 ， 由 远程 主机 的 syslogd 进程 接收 
| < 程序 名 > 把 日 志 信息 通过 管道 发 送 给 另 一 个 程序 


以 上 是 有 关系 统 日 志 配置 文件 rsyslog.conf 配置 格式 的 解释 。 默 认 情 况 下 ，sysklogd 软 
件 包 安装 时 提供 了 /etc/rsyslog.conf 文件 的 初始 内 容 ， 下 面 对 这 些 初 始 内 容 作 一 下 解释 。 


# 把 所 有 有 关内 核 的 日 志 输 出 到 控制 台 。 


#kern.* /dev/console 


# 除了 mail、authpriv 和 cron 设备 外 ， 所 有 其 他 设备 的 info 或 更 高 的 日 志 都 记录 在 
/var/1og/messages 文件 
*.info;mail.none;authpriv.none;cron.none /var/log/messages 


# 有 关 用 户 认证 的 日 志 记 录 在 /var/1o0g/secure 文件 ， 这 个 文件 应 作 严格 的 访问 限制 ， 以 保证 安 
全 
authpriv.* /var/log/secure 


# 把 所 有 发 送 到 mail 设备 的 日 志 存 放 在 /var/1og/maillog 文件 


mail.* -/var/log/maillo 


# 把 所 有 发 送 到 cron 设备 的 日 志 存放 在 /var/1og/cron 文件 


Cron.* /var/log/cron 


# 把 所 有 设备 的 emerg 级 别 的 日 志 发 送 给 当前 登录 的 用 户 


*.emerg 于 


# 把 uucp 和 news 设备 的 crit 及 以 上 级 别 的 日 志 记 录 在 /var/1og/spooler 文件 


uucp,news.crit /var/log/spooler 


# local7 设备 记录 了 一 些 引 导 人 信息， 记录 在 /var/10g/boot.1og 文件 
local7.* /var/log/boot.1og 
全 说 明 : 在 以 上 配置 中 ， 把 各 种 设备 和 级 别 的 日 志 分 类 记录 在 不 同 的 位 置 ， 主 要 是 为 了 管 
理 的 方便 。 例 如 ， 有 些 日 志 是 给 权限 较 高 的 管理 员 看 的 ， 而 有 些 是 所 有 用 户 都 可 
以 看 的 ， 只 有 把 它们 存放 在 不 同 的 文件 中 ， 才 能 进行 访问 控制 管理 。 


7.1.3 查看 Linux 系统 日 志 


从 初始 的 系统 日 志 配置 可 以 看 到 ， 默 认 情况 下 ，Linux 的 日 志文 件 都 存放 在 /var/log 日 
录 ， 这 些 日 志文 件 的 文件 主 用 户 基本 上 都 是 root， 而 且 大 部 分 的 日 志 其 他 用 户 是 不 能 查看 
的 。Linux 还 为 其 他 用 户 创建 了 一 些 日 志 目 录 ， 以 供 他们 以 后 写 入 日 志 用 。 例 如 ，squid 用 


.124 。 
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户 在 该 目录 中 拥有 一 个 子 目录 ， 其 目录 名 也 是 squid， 以 后 安装 了 Squid 代理 服务 器 后 ， 运 
行 squid 进程 的 squid 用 户 就 可 以 往 这 个 目录 写 入 日 志 了 。 一 个 典型 的 系统 日 志文 件 ， 
cron 文件 的 内 容 如 下 所 示 。 


# more /var/log/cron 


Dec 28 07:01:01 localhost crond[27912]: (root) CMD (run-parts /etc/ 
cron.hourly) 


# 

可 以 看 到 ， 系 统 日 志 中 一 共 记 录 了 四 项 内 容 ， 第 一 列 是 时 间 戳 ， 第 二 列 是 主机 名 称 或 
IP 地 址 ， 第 三 列 是 写 入 日 志 信息 的 进程 名 称 及 进程 号 ， 第 四 列 是 日 志 内 容 ， 是 由 第 三 列 的 
进程 提供 的 。 除 了 直接 通过 文件 内 容 显示 命令 查看 日 志 外 ，RHEL6 的 桌面 系统 不 提供 查看 
日 志 内 容 的 图 形 界面 。 可 以 通过 http://pkgs.org/download/gnome-system-log 网 址 得 到 ， 该 软 
件 名 为 gnome-system-log-2.28.1-10.el6.i686。 安装 完成 后 运行 gnome-system-log 命令 将 出 现 
图 7-1 所 示 窗 口 。 


maillog - 系统 日 志 查 看 器 


文件 (FE) _ ME) -下 看 () i 村 助 (H) 
TOCITNOST POSTTIX/WASTerTZO3TI[A 
bootlog 1 localhost postfix/tocat[8266] 1 
t 81 localhost postfix/master[2631] 


haa Localhost postfix/master[2631] 

dmesg 1 0 localhost postfix/smtpd[8276] 1 

dracutlog t 81 1 localhost postfix/master[2631] 

站 LocaLhost postfix/master[2631] 

1 localhost postfix/tocat[8284] 1; 

星期 “，8 10 月 t 1 55 localhost postfix/master[2631] 

b messages localhost postfix/master[2631] 

localhost postfix/smtpd[8288] 1 

Ia 19:07:02 localhost postfix/master[2631] 

pm-powersave,log localhost postfix/master[2631] 

b secure localhost postfix/local[8304]; 

. + 6 19:07:56 Localhost postfix/master[2631] 

Spoo er 56 localhost postfix/master[2631] 

tallylog 2 localhost postfix/smtpd[8307]: 

wpe_supplicant Jog Oct 81 localhost postfix/master[2631] 
xferlog )3 localhost postfix/master[2631] 上 


nig J Ci D 
1735 行 (195.5 KB) - 上 次 更 新 :一 10 月 8 18:02:58 2012 


图 7-1 RHEL 56 的 系统 日 志 查 看 窗口 


通过 系统 日 志 窗口 ， 可 以 非常 方便 地 查看 系统 日 志 。 窗 口 的 左边 可 以 选择 日 志文 件 ， 
右边 列 出 了 相应 日 志文 件 的 内 容 ， 而 且 是 按照 日 期 分 类 显示 。 


7.2 Linux 日 志高 级 专题 


7.1 节 介绍 了 记录 系统 日 志 的 方法 ， 为 了 更 有 效 地 对 这 些 日 志 进 行 管理 ， 还 需要 其 他 
一 些 工 具 。 为 了 防止 日 志文 件 占用 过 多 的 磁盘 空间 ， 需 要 定时 对 其 进行 删除 ， 这 可 以 由 日 
志 的 转 储 功能 来 实现 。 此 外 ， 有 些 日 志 内 容 不 是 文本 格式 ， 需 要 通过 特定 的 命令 才能 显示 
出 来 。 还 有 ， 通 过 记录 某 些 日 志 信息 还 可 以 实现 对 用 户 和 进程 进行 记 账 的 功能 
7.2.1 日 志 的 转 储 


随 着 系统 运行 时 间 的 增加 ， 系 统 日 志 内 容 将 不 断 积 累 ， 日 志文 件 也 将 越 来 越 大 。 如 果 


“23e 
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系统 管理 员 不 及 时 予以 处 理 ， 将 会 耗 尽 磁盘 空间 。 为 了 减轻 系统 管理 员 的 负担 ，Linux 系 
统 提供 了 一 种 日 志 转 储 的 功能 。 假 设 一 个 日 志文 件 的 名 字 是 log， 利 用 日 志 转 储 功能 ， 可 
以 在 某 一 时 刻 ， 自 动 将 其 改名 为 log.1， 而 原来 的 log 文件 清空 后 继续 使 用 。 再 到 了 某 一 时 
刻 ，log.1 将 命名 为 log.2，log 命名 为 log.1，log 再 清空 后 继续 。 依 次 类 推 ， 最 终结 果 是 把 
日 志 分 到 按 顺 序 排列 的 文件 中 。 

在 Linux 系统 中 ， 日 志 转 储 功能 是 由 logrotate 命令 实现 的 ， 它 可 以 设置 成 按 日 、 按 周 
或 按 月 进行 转 储 ， 也 能 在 文件 太 大 时 立即 处 理 。 


全 说 明 : 除了 日 志 转 储 功 能 ，logrotate 命令 还 提供 压缩 、 删 除 和 备份 日 志文 件 的 功能 。 


logrotate 命令 是 由 logrotate 软件 包 提 供 的 , 默认 情况 下 , RHEL 6 已 经 安装 了 该 软件 包 ， 
可 以 通过 以 下 命令 查看 。 


# rpm -qalgrep logrotate 
logrotate-3.7.8-15.e16.i686 
# 


logrotate 软件 包 主 要 提供 了 以 下 文件 。 

口 /usr/sbin/logrotate: 命令 文件 。 

口 /etc/logrotate.conf: 主 配置 文件 。 

口 /etc/cron.daily/logrotate: 执行 logrotate 命令 的 脚本 ， 每 天 执行 一 次 。 

口 /etc/logrotate.d: 是 一 个 目录 ， 里 面包 含 了 管理 各 种 日 志文 件 的 配置 。 

logrotate 命令 的 配置 相对 简单 , 下面 只 对 配置 文件 /etc/logrotate.conf 的 初始 内 容 作 一 下 
解释 。 

# 下 面 指定 了 每 个 日 志文 件 的 默认 配置 

weekly # 指定 所 有 的 日 志文 件 每 周转 储 一 次 

rotate 4 # 指定 转 储 文件 保留 4 份 


create # 创建 被 转 储 的 日 志文 件 ， 内 容 为 空 
#compress ”# 对 转 储 后 的 日 志文 件 进行 压缩 存储 


# 把 /etc/1logrotate.d 目录 中 所 有 的 文件 内 容 包含 进来 。 该 目录 里 的 文件 是 针对 某 一 日 志文 件 
的 配置 
include /etc/logrotate.d 


# 针对 /var/1og/wtmp 文件 的 转 储 配 置 ， 这 些 配置 将 覆盖 上 面 的 那些 默认 配置 

/var/log/wtmp { 

monthly # 每 月 转 储 一 次 

create 0664 root utmp # 创建 被 转 储 的 日 志文 件 ， 内 容 为 宝 。 权 限 值 为 564， 文件 主 为 
root， 所 属 用 户 为 utmp 

rotate 1 # 指定 转 储 文件 保留 1 份 

} 


/etc/logrotate.d 目录 中 每 一 个 文件 的 配置 内 容 都 指定 了 某 个 或 某 些 日 志文 件 的 转 储 配 
置 ， 其 形式 与 针对 /varlog/wtmp 日 志文 件 的 配置 类 似 ， 但 具体 配置 内 容 各 不 一 样 。 


7.2.2 登录 日 志 
Linux 系统 还 使 用 一 种 特殊 的 日 志保 留用 户 的 登录 信息 ， 这 些 日 志 信息 存放 在 warlog 


:oe 
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目录 的 wtmp 和 lastlog 文件 ， 以 及 /var/run 目录 的 utmp 文件 中 , 它们 是 由 多 个 进程 写 入 的 。 
有 关 当 前 登录 用 户 的 信息 记录 在 文件 utmp 中 。wtmp 文件 主要 存放 用 户 的 登录 和 退出 信息 ， 
此 外 还 存放 关机 、 重 启 等 信息 。 最 后 一 次 登录 的 信息 存放 在 lastlog 文件 中 。 

在 拥有 大 量 用 户 的 系统 中 ， 由 于 用 户 频 繁 进出 ，wtmp 文件 的 字 节 数 将 增加 很 快 。 为 
了 节省 磁盘 空间 ， 一 般 都 定期 执行 logrotate 命令 进行 转 储 ， 以 便 只 保留 特定 时 间 的 日 志 ， 
其 余 日 志 将 予以 删除 或 备份 到 其 他 设备 中 。 

每 当 有 用 户 登录 时 ，login 程序 都 要 在 lastlog 文件 中 搜索 要 登录 用 户 的 UID 。 如 果 找 
到 了 , 则 把 该 用 户 上 次 登录 、 退 出 时 间 和 主机 名 等 内 容 输出 到 终端 ,然后 login 程序 在 lastlog 
文件 中 记录 这 次 登录 的 新 时 间 。 此 外 ， 用 户 登录 成 功 后 ，login 程序 还 要 在 utmp 文件 中 插 
入 该 用 户 的 登录 信息 ， 并 且 该 信息 一 直 保 留 到 用 户 退 出 时 为 止 。 最 后 ，login 程序 还 要 把 登 
录 信 息 写 入 wtmp 文件 。 

wtmp、utmp 和 lastlog 都 是 二 进 制 文件 ， 不 能 像 其 他 日 志文 件 那 样 使 用 tail、more 等 
命令 进行 查看 ， 需 要 使 用 Linux 提供 的 命令 才能 查看 。 这 些 命令 包括 who、w、lastlog 和 
last 等 ， 它 们 执行 时 都 需要 从 这 儿 个 日 志文 件 中 读 取 信息 。 下 面 简单 介绍 这 些 命令 的 用 法 。 

lastlog 命令 用 于 查看 系统 中 每 个 用 户 最 后 的 登录 时 间 ， 其 执行 结果 如 下 所 示 。 


用 户 名 终端 来 自 最 后 登录 时 间 

root pts/1 192.168 1.147 日 12 月 28 21:48:57 +0800 2008 
bin *## 从 未 登录 过 ##* 

abc pts/3 10=L0s1.29 日 12 月 28 23:06:53 +0800 2008 
# 


who 命令 列 出 当前 在 线 的 用 户 。 显 示 时 ， 第 一 列 是 用 户 名 ， 第 二 列 是 终端 名 ， 第 三 列 
是 登录 时 间 ， 括 号 里 的 内 容 表示 是 从 哪 台 主机 登录 ， 具 体 如 下 所 示 。 


$ who 

root pts/1 2008-=12-28 21:48 (192.168.1.147) 
root pts/2 2000=12-2Z7 TA2 0 (LO 

abc pts/3 20086=12=28 23206° (10 10129) 

$ 


w 命令 查询 utmp 文件 并 显示 当前 系统 中 每 个 用 户 和 它 所 运行 的 进程 ， 以 及 这 些 进 程 
占用 CPU 的 时 间 人 信息， 执行 结果 如 下 所 示 。 
#w 


23:22:36 up 1 day: 6:41, 3 vsers, ‘load average: 0.:06, 0.02; 0.00 
USER TY FROM LOGIN@ IDLE JCPU PCPU WHAT 
root pts/1 192.168.1.147 21:48 0.00s 0.15s 0.01s w 
root pts/2 sa0 Sat17 7:54 0.04s 0.04s bash 
abc pts/3 10.10.1.29 23:06 放生 0.03s 0.03s -bash 
# 


还 有 一 条 last 命令 ， 它 可 以 根据 wtmp 文件 的 内 容 显示 所 有 登录 过 的 用 户 。 其 命令 执 
行 结果 显示 如 下 : 


# last 


. 127 。 
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root RS 3020 Thu Jan 


8 08:56 - 14:04 (05:08) 
root :0 Thu Jan 8 08:55 still logged in 
abc pts/4 ET Ee eA WedlJanl 7 15539 = 11s56 (20:16) 
root pts/3 0 Wed Jan 7 145505° 09:11 (18:06) 
reboot system boot 2.6.18-8.el5 Wed Jan 7 11:02 (3+10:24) 

023552 = 01301 ‘(0L308} 


root PRESS 192.168.1.151 Tue Jan 


wtmp begins Sat Jan 3 20:33:03 2009 
# 


第 一 列 显示 的 是 用 户 名 ; 第 二 Ce “:0” 表 示 控 制 台 ; 第 三 列 是 客户 端的 人 P 
地 址 ， 第 四 列 是 登录 和 注销 的 时 间 。 括 号 中 的 数值 表示 登录 持续 的 时 间 ，still logged in 表 
示 该 用 户 仍然 在 线 。 


全 注意 ; 以 上 显示 中 ，reboot 并 不 是 一 个 用 户 名 ， 而 是 代表 系统 的 重启 操作 。 


7.2.3” 记 账 功 能 


在 系统 管理 中 ， 有 时 需要 记录 用 户 对 资源 的 消费 情况 ， 作 为 对 用 户 账号 收取 费用 的 依 
据 。 这 些 日 志 也 可 以 用 于 安全 目的 ， 提 供 有 关系 统 活动 的 有 价值 的 信息 。Linux 系统 提供 
了 一 个 名 为 psacct 的 软件 包 ， 可 以 实现 上 述 的 记 账 功能 。 默 认 情 况 下 ，RHEL 6 操作 系统 
安装 时 ， 已 经 安装 了 psacct 包 ， 可 以 通过 以 下 命令 查看 : 


# rpm -qalgrep psacct 
psacct-6.3.2-63.e16 1.1.i686 
# 


为 了 开启 记 账 功能 ， 需 要 执行 以 下 命令 : 

# /etc/rc.d/init.d/psacct start 

开启 进程 记 账 : [确定 ] 
# 


或 者 直接 执行 以 下 命令 : 
# accton /var/account/pacct 


如 果 要 停止 记 账 功能 ， 可 以 执行 “/etc/re.d/init.d/psacct stop” 命 令 或 不 带 参数 的 accton 
命令 。 记 账 功能 开启 后 ， 有 关 的 用 户 和 进程 的 记 账 信息 都 记录 在 日 志文 件 /var/account/pacct 
中 ， 而 且 psacct 软件 包 安 装 时 在 /etc/logrotate.d 目录 安装 了 转 储 配 置 文件 ， 文 件 名 也 是 
psacct。 有 gy 志 后 ， 就 可 以 使 用 psacct 软件 包 提 供 的 命令 了 

默认 情况 下 ， 用 户 执 行 过 的 命令 都 会 保存 在 个 人 目录 的 .bash ey 文件 中 ， 但 这 个 
文件 是 由 El， 用 户 可 以 随时 删除 或 修改 该 文件 内 容 。 实 际 上 ， 用 户 执 行 过 的 
命令 也 会 被 psacct 记录 ， 作 为 日 志 存 放 在 /var/account/pacct 文件 中 ， 而 且 还 记录 了 其 他 更 
详细 的 信息 。 利 用 lastcomm 命令 可 以 输出 日 志 中 的 这 些 信息 ， 显 示 方式 如 下 所 示 。 


[root@localhost logrotate.d]# lastcomm | more 


man root Pear 0.00 secs Sat Jan 10 22:36 
sh abc pts/1 0.00 secs Sat Jan 10 22:36 
sh F root pts/1 0.00 secs Sat Jan 10 22:36 


-2 
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rm abc pts/1 0.00 secs Sat Jan 10 22:36 
rm abc pts/1 0.00 secs Sat Jan 10 22:36 
iconv root pts/1 0.00 secs Sat Jan 10 22:36 
gunzip abc pts/1 0.00 secs Sat Jan 10 22:36 

0.00 secs Sat Jan 10 22:36 


cat root pts/1 


以 上 命令 显示 了 所 有 曾经 被 用 户 运 行 过 的 进程 或 命令 。 第 一 列 是 启动 进程 的 命令 名 。 
第 二 列 是 标志 , F 表示 进程 由 fork 派生 但 没有 调用 exec 函数 。 第 三 列表 示 执 行进 程 的 用 户 
名 。 第 四 列表 示 命 令 在 哪个 终端 执行 。 第 五 列表 示 执 行进 程 所 花费 的 时 间 。 第 六 列表 示 在 
什么 日 期 和 时 间 执 行进 程 。 常 用 的 lastcomm 命令 选项 如 下 所 示 。 

口 --user <name>: 列 出 指定 用 户 名 的 记录 ; 

口 --command <name>: 列 出 与 指定 命令 相同 的 记录 ; 

口 --tty <name>: 列 出 指定 终端 上 执行 的 进程 

口 -f <filename>: 从 指定 的 文件 中 读 取 数据 ， 而 不 是 从 默认 的 日 志文 件 /varaccount/ 

pacct。 

sa 命令 位 于 /usr/sbin 目录 ， 是 提供 给 root 用 户 执 行 的 ， 它 可 以 把 以 前 执行 过 的 命令 曾 
经 占用 多 少 CPU 时 间 的 信息 统计 出 来 ,并且 提 供 了 系统 资源 的 消费 信息 ， 对 于 鉴别 某 些 占 
用 大 量 CPU 时 间 的 可 疑 命 令 十 分 有 用 。sa 命令 执行 的 结果 如 下 所 示 。 


# sa | more 


1120 -2911.95ze 6-38cPp 1113k 

3 1071.75re 5.94cp 3143k clamd* 
20 0.17re 0.06cp 2510k rpmq 
47 0.84re 0.06cp 626k find 
3 799206ze 0.03cp 1969k sshd 


以 - 显示 了 所 有 曾经 运行 过 的 进程 所 占用 的 CPU 时 间 信 息 。 第 一 列 是 进程 执行 的 
次 数 。 - 列 是 一 种 “真实 ”的 CPU 时 间 。 第 三 列表 示 系 统 和 用 户 CPU 时 间 的 总 和 。 第 
Wan CPU 时 间 ， 以 1K 个 CPU 单位 时 间 为 单位 。 第 五 列表 示 启 动 
进程 的 命令 名 称 。 常 用 的 sa 命令 选项 如 下 所 示 ， 所 有 的 命令 选项 可 以 通过 “man sa” 命 令 
查看 sa 命令 的 手册 页 获得 。 

口 -u: 列 出 执行 进程 的 用 户 ; 

-1: 将 系统 时 间 和 用 户 时 间 分 别 输出 ; 

口 -m: 汇总 每 个 用 户 占 用 的 CPU 时 间 。 

ac 命令 在 /usr/bin 目录 中 , 非特 权 用 户 也 可 以 执行 。 它 的 功能 是 统计 用 户 在 线 时 间 ， 其 
命令 格式 与 作用 如 下 所 示 。 


# ac // 不 跟 参 数 时 ， 只 显示 所 有 用 户 总 的 在 线 时 间 
total 268.79 

# ac -d // -d 表示 列 出 每 天 所 有 用 户 的 总 在 线 时 间 

Dec 25 total 43.33 

pec 26 totar 75.94 

Dec, 27 七 oa 96.72 

Today total 2 

# ac -p // -Pp 表示 列 出 每 个 用 户 的 总 在 线 时 间 
root 268.44 
abc 0537 
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total 268.81 
# 


以 上 表示 时 间 的 数字 以 小 时 为 单位 。 


全 注意 : 与 前 面 的 两 条 命令 不 同 的 是 ，ac 命令 并 不 使 用 /var/account/pacct 日 志文 件 ， 而 是 
使 用 /var/log/wtmp 日 志文 件 。 


7.3 日 志 分 析 工 具 


对 于 拥有 大 量 账户 、 系 统 非常 繁忙 的 Linux 系统 来 说 ， 其 日 志文 件 是 极其 庞大 的 ， 大 
量 没有 价值 的 信息 会 将 有 用 的 信息 淹没 ， 给 管理 员 分 析 和 管理 日 志 带 来 了 很 大 的 不 便 。 为 
了 解决 这 个 问题 ， 出 现 了 很 多 专门 的 日 志 分 析 工 具 ， 下 面 介绍 Logcheck 和 swatch 日 志 
析 工 具 的 安装 、 运 行 和 使 用 方法 。 


7.3.1 Logcheck 日 志 分 析 工具 


Logcheck 用 来 分 析 庞 大 的 日 志文 件 。 它 可 以 自动 运行 过滤 出 有 潜在 安全 风险 或 其 他 
不 正常 情况 的 日 志 内 容 ， 然 后 以 电子 邮件 等 形式 通知 指定 的 用 户 。Logcheck 的 主页 是 
http:/logcheck.org， 对 于 RHEL 6 系统 来 说 ， 可 以 到 http://rpmfind.net 下 载 RPM 包 直 接 进 
行 安装 ，logcheck-1.1.1-2.i586.rpm 是 其 最 新 版 本 的 文件 名 。 下 载 完 成 后 ， 可 以 用 以 下 命令 
进行 安装 。 

# rpm -ivh logcheck-1.1.1-2.i586.rpm 


Preparing... 振 提 拓 拓 提 拓 拓 六 拓 拓 折 拓 拓 赤 提 拓 间 提 拓 间 提 拓 间 并 拓 拓 并 拓 提 寺 失 提 并 失 间 间 埋 拓 提 并 ## 间 [1OOSS] 
1:1ogcheck 提 非 非 提 非 提 并 间 提 捍 间 提 提 间 提 提 提 提 提 提 提 提 提 提 间 提 间 提 提 间 间 提 间 提 提 间 间 井 井 井 ### 间 [ 工 0OS] 


Logcheck 安装 完成 后 ,将 在 /etc/cron.hourly 目录 中 出 现 一 个 名 为 logcheck 的 脚本 文件 ， 
它 定期 被 crond 进程 执行 ， 其 内 容 如 下 : 
# more /etc/cron.hourly/logcheck 


#!/bin/sh 
exec /usr/sbin/logcheck 


可 见 ，logcheck 又 调用 了 /usr/sbin 目录 的 logcheck 文件 。 而 这 个 logcheck 也 是 一 个 脚 
本 文件 ， 它 实现 了 日 志 分 析 的 功能 ， 主 要 处 理 方法 是 在 系统 日 志文 件 中 搜索 某 些 指定 的 字 
符 串 模式 。 如 果 发 现 有 匹配 的 情况 ， 则 认为 出 现 了 不 正常 情况 ， 将 向 管理 员 发 送 邮 件 。 

要 搜索 的 字符 串 模式 是 由 /etc/logcheck 目录 下 的 文件 指定 的 ， 其 中 logcheck.hacking 文 
件 指定 了 黑客 入 侵 的 特征 字符 串 ，logcheck.violations 指定 了 违反 常规 的 一 些 特征 字 符 串 。 
另外 ，logcheck.ignore 中 的 内 容 是 可 以 忽略 的 字符 串 模 式 ，logcheck.violations.ignore 指定 
了 logcheck.violations 文件 中 可 以 忽略 的 字符 串 模式 。 

/usr/sbin/logcheck 脚本 执行 时 还 要 调用 /usr/sbin/logtail 程序 ， 它 的 功能 是 为 每 一 
文件 创建 一 个 “.offset” 文 件 ， 用 于 记录 本 次 搜索 已 经 到 日 志文 件 的 哪个 位 置 ， 以 便 下 次 
搜索 时 ， 能 从 这 个 位 置 开始 搜索 ， 避 免 重复 搜索 。 


a 
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户 可 以 添加 自己 的 特征 字符 串 ， 以 便 对 最 新 的 入 侵 或 异常 行为 进行 报警 。 报 警 信息 
以 E-mail 的 形式 发 送 给 用 户 。E-mail 地 址 可 以 在 logcheck 脚本 中 指定 ，SYSADMIN 变量 
表示 用 户 名 ，HOSTNAME 表示 主机 名 ，MAIL 表示 邮件 客户 端 命令 。 


7.3.2 Swatch 日 志 分 析 工 具 


Swatch 是 另 一 个 功能 强大 的 Linux 日 志 分 析 和 监控 工具 ， 它 是 一 种 由 perl 语言 编写 的 
程序 ， 可 以 根据 配置 文件 的 设置 对 系统 中 的 日 志 内 容 进行 搜索 和 监控 ， 一 旦 发 现 指定 的 关 
键 字 , 将 会 以 各 种 方式 报警 。Swatch 不 仅 能 够 定期 地 扫描 日 志文 件 , 而 且 它 能 够 像 Syslogd 
守护 进程 那样 主动 扫描 日 志文 件 并 对 特定 的 日 志 消息 采取 修复 行动 。 可 以 在 系统 中 运行 多 
个 Swatch 进程 ， 以 便 对 不 同 的 日 志 进 行 不 同形 式 的 分 析 与 监控 。 

Swatch 程序 可 以 从 其 官方 网 站 http://sourceforge.net/projects/swatch/ 处 下 载 ， 是 源 代码 
形式 ， 目 前 最 新 版 本 是 3.2.3 版 。Swatch 程序 本 身 很 小 只 有 几 十 KB， 但 它 需要 系统 中 很 
多 的 Perl 模块 支持 ， 而 且 这 些 Perl 模块 相互 关联 ， 想 手动 一 个 个 安装 几乎 不 可 能 ， 需 要 使 
用 RHEL 5 中 提供 的 CPAN 方式 进行 安装 。 

CPAN 是 一 个 巨大 的 Perl 软件 收藏 库 ， 收 集 了 大 量 有 用 的 Perl 模块 及 其 相关 的 文件 ， 
其 在 Internet 上 的 主 站 是 http:/www.cpan.org， 另 外 在 世界 各 地 有 许多 CPAN 的 镜像 站 。 通 
过 CPAN 安装 方式 ， 可 以 自动 在 Internet 找到 所 要 安装 的 Perl 模块 以 及 各 种 关联 模块 ， 一 
起 进行 安装 。 为 了 使 用 CPAN 安装 Perl 模块 ， 需 要 在 Linux 终端 输入 以 下 命令 : 

# cpan 

第 一 次 执行 时 需要 做 很 多 配置 工作 。 一 般 都 采用 默认 配置 ， 只 是 在 要 求 选择 镜像 网 站 
时 选 离 自己 最 近 的 即 可 。 配 置 完成 后 ， 将 出 现 以 下 提示 符 : 


cpan[1]> 

为 了 安装 swatch， 可 能 需要 以 下 儿 个 Perl 模块 。 
口 Date::Calc; 

口 Date::Parse; 

口 File::Tail; 


口 Time::HiRes。 
因此 ， 在 cpan[1]> 后 输入 以 下 命令 进行 安装 。 

cpan[1]>install Date::Calc 

cpan[2]>install Date::Parse 

cpan[3]>install File::Tail 

cpan[4]>install Time::HiRes 

在 安装 过 程 中 ， 还 需要 一 些 确认 的 步骤 。 由 于 受 Internet 速度 的 影响 ， 可 能 需要 人 花 比 
较 多 的 安装 时 间 。 所 需 的 Perl 模块 安装 完成 后 ， 就 可 以 安装 swatch 了 。 首 先 通过 以 下 命令 
解压 源 代码 : 


0 tar ~2xvf swatch-3.2,3.tar.gz 
然后 依次 执行 以 下 命令 : 


# cd swatch-3.1.1 


es 
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# perl Makefile.PL 
# make 

# make test 

# make install 

# make realclean 


全 注意 ; 如 果 所 要 求 的 Perl 模块 还 未 全 部 安装 ， 执 行 “perl Makefile.PL” 时 会 有 相应 的 提 
示 ， 此 时 ， 要 通过 CPAN 方式 安装 要 求 的 Perl 模块 。 


所 有 命令 成 功 执行 后 ， 将 在 /usr/bin 目录 下 出 现 swatch 文件 ， 它 就 是 Swatch 工具 的 命 
令 文 件 。 

Swatch 工作 时 ， 需 要 指定 一 个 配置 文件 ， 默 认 的 配置 文件 是 用 户主 目录 下 的 .swatchrc 
文件 。Swatch 的 配置 相当 简单 ， 标 准 的 方法 是 在 配置 文件 的 开始 使 用 watchfor 或 ignore 关 
键 字 ， 后 面 再 跟 一 个 正则 表达 式 ， 表 示 要 搜索 或 监控 正则 表达 式 所 表达 的 内 容 。 紧 跟 其 后 
的 关键 字 表 示 日 志 内 容 与 正则 表达 式 匹配 时 要 采取 的 行动 。 主 要 有 以 下 几 个 关键 字 。 

口 echo [modes]: 以 指定 模式 在 屏幕 上 显示 匹配 的 行 ， 模 式 可 以 设置 文本 的 颜色 、 粗 


体 等 。 

口 beel [IN]: 先 对 匹配 的 行进 行 由 echo 关键 字 指定 的 方式 处 理 ， 再 响 N 声 的 喇叭 
报警 。 

口 exec <command>: 执行 指定 的 命令 ， 如 果 需 要 ， 匹 配 行 的 内 容 可 以 作为 命令 的 
参数 。 


口 mail [addresses=adr:adr]: 向 指定 的 邮件 地 址 发 送 电子 邮件 。 

口 write: user:user:…..]: 把 匹配 的 行 发 送 给 指定 的 用 户 ， 显 示 在 其 登录 的 终端 上 。 
口 continue: 继续 与 其 他 规则 匹配 。 

口 quit; 退出 。 

下 面 是 一 个 swatch 配置 文件 的 简单 例子 。 

watchfor /[dD]enied/ 

echo bold 

Bell 3 


mail root@somewhere.com 
write root 


以 上 配置 内 容 表 示 ， 当 在 日 志 中 发 现 有 denied 或 Denied 时 ， 将 把 该 行 日 志 以 粗 体 字 
显示 在 屏幕 上 ,喇叭 响 三 声 ， 再 把 匹配 的 内 容 以 邮件 形式 发 送 到 root@somewhere.com， 最 
后 再 把 这 些 匹配 的 内 容 发 送 到 root 用 户 当 前 所 在 的 终端 上 。 可 以 把 包含 上 述 内 容 的 文件 以 
myswatch.conf 的 名 字 保 存在 /root 目录 ， 再 执行 以 下 命令 : 


Swatch --config-file=/root/myswatch.conf --examine=/var/log/messages 


表示 使 用 /root/myswatch.conf 配置 文件 执行 swatch， 对 /var/log/messages 中 的 日 志 进 行 
检查 ， 一 旦 发 现 匹 配 的 模式 ， 将 采取 指定 的 动作 。 以 上 命令 执行 后 ， 可 能 会 在 屏幕 上 出 现 
类 似 下 面 的 一 些 内 容 。 


Feb 2 09:55:21 localhost kernel: audit(1233539703.107:4): avc: denied 
{ getattr } for Pid=1221 comm="lvm.static" name="fb0" dev=tmpfs ino=5012 
scontext=system u:system r:lvm t:s0 


ls 
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tcontext=system u:object r:device t:s0 tclass=file 
如 果 指 定 日 志文 件 时 是 “--tail-file=filename” 的 形式 ， 则 只 对 追加 的 内 容 进 行 检查 。 


如 果 加 了 --daemon 选项 ， 则 可 以 使 swatch 以 后 台 的 方式 运行 。 此 外 ，watchfor 后 面 的 正则 
表达 式 可 以 非常 灵活 ， 以 便 能 实现 非常 复杂 的 搜索 内 容 。 


7.4 小 结 


系统 日 志 为 保证 主机 安全 提供 了 有 力 的 手段 ， 通 过 系统 日 志 ， 系 统管 理 员 可 以 发 现 操 
作 系 统 及 应 用 进程 运行 时 存在 的 各 种 问题 ， 以 及 实现 对 用 户 进行 审计 等 功能 。 本 章 首先 讲 
述 了 Linux 系统 日 志 的 基础 知识 及 配置 方法 ， 然 后 介绍 一 些 高 级 的 日 志 专题 ， 如 日 志 的 转 
储 、 日 志 审 计 等 功能 ， 最 后 介绍 了 两 种 常见 的 日 志 分 析 工 具 。 


ge 
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Linux 系统 具有 完整 的 路 由 转发 功能 ， 除 了 根据 路 由 发 送 自己 产生 的 IP 数据 包 外 ， 还 
可 以 在 多 个 网 络 接 口 之 间 转 发 外 界 的 数据 包 。 此 外 ，Linux 系统 还 具有 更 加 灵活 的 策略 路 
由 功能 。 本 章 主要 介绍 路 由 的 基本 概念 、 路 由 表 、Linux 路 由 配置 和 策略 路 由 等 内 容 。 


8.1 路 由 的 基本 概念 


路 由 是 IP 协议 层 最 重要 的 功能 之 一 。 当 数据 包 传递 到 IP 协议 层 时 ， 路 由 模块 要 根据 
数据 包 的 目的 IP 地 址 或 源 IP 地 址 决定 该 数据 包 将 往 哪 个 方向 传输 。 本 节 将 介绍 路 由 的 基 
本 概念 ， 包 括 路 由 原理 、 路 由 表 和 路 由 协议 等 内 容 。 


8.1.1 路 由 原理 


局 域 网 内 的 一 台 主 机 发 送 IP 数据 包 给 同一 局 域 网 内 的 另 一 台 主机 时 ， 它 只 需 将 IP 数 
据 包 通过 网 络 接口 直接 发 送 到 网 络 上 ， 对 方 就 能 收 到 ， 此 时 不 需要 路 由 。 但 是 ， 如 果 目 的 
主机 与 发 送 IP 数据 包 的 主机 不 在 同一 个 局 域 网 时 ， 这 个 IP 数据 包 需 要 发 送 给 位 于 同一 局 
域 网 上 的 路 由 器 ， 再 由 路 由 器 负责 把 该 卫 数据 包 送 到 目的 地 。 


名 说明: 如 果 局 域 网 中 存在 多 个 路 由 器 ， 则 发 送 IP 数据 包 的 主机 需要 根据 目的 IP 地 址 选 
择 一 台 合 适 的 路 由 器 。 


局 域 网 上 的 路 由 器 收 到 卫 数据 包 后 ， 要 根据 人 P 数据 包 的 目的 地 址 ， 决 定 选择 哪 一 个 
接口 把 IP 数据 包 发 送出 去 。 如 果 路 由 器 的 某 一 接口 与 卫 数据 包 的 目的 主机 位 于 同一 局 域 
网 ， 则 可 以 直接 通过 该 接口 把 全 数据 包 传送 给 目的 主机 。 但 如 果 没 有 这 样 的 接口 ， 则 路 由 
器 也 要 像 发 送 IP 数据 包 的 源 主机 一 样 ， 根 据 目的 卫 选择 另 一 台 合 适 的 路 由 器 ， 再 从 合适 
的 接口 把 耳 数据 包 送 过 去 。 

一 般 情 况 下 ， 不 管 是 主机 还 是 路 由 器 ， 都 会 存在 一 个 默认 的 下 一 站 路 由 。 当 不 知道 如 何 
转发 数据 包 时 ， 都 将 把 耳 数据 包 转发 给 这 个 默认 路 由 器 。 通 过 这 样 一 站 站 的 传送 ，IP 数 
据 包 最 终 将 到 达 目 的 地 ， 由 于 某 种 原因 不 能 到 达 目 的 地 的 数据 包 将 会 在 某 一 站 被 丢弃 。 

寻 径 和 转发 是 路 由 的 两 项 基本 内 容 。 寻 径 即 判定 到 达 目 的 地 的 最 佳 路 径 ， 由 路 由 选择 
算法 来 实现 。 为 了 判定 最 佳 路 径 ， 主 机 或 路 由 器 必须 维护 一 张 包含 路 由 信息 的 路 由 表 ， 主 
机 或 路 由 器 上 的 进程 可 以 与 附近 其 他 的 主机 或 路 由 器 交换 路 由 信息 ， 再 根据 某 种 路 由 算法 
把 这 些 路 由 信息 填 入 到 路 由 表 中 。 主机 和 路 由 器 都 要 根据 路 由 表 来 决定 IP 数据 包 的 下 一 站 
位 置 。 

转发 即 沿 着 所 选 的 最 佳 路 径 传送 数据 包 。 当 下 一 站 位 置 确定 后 ， 路 由 器 需要 通过 合适 
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的 网 络 接口 把 卫 数据 包 发 送出 去 。 路 由 转发 和 路 由 寻 径 是 密切 相关 的 , 前 者 使 用 后 者 根据 
路 由 算法 产生 的 路 由 表 ， 而 后 者 要 利用 前 者 提供 的 功能 来 交换 路 由 信息 。 


B12 
路 


路 由 表 
由 表 是 路 由 转发 的 基础 ， 不 管 是 主机 还 是 路 由 器 ， 只 要 与 外 界 交 换 IP 数据 包 , 平时 


都 要 维持 着 一 张 路 由 表 。 当 发 送 IP 数据 包 时 , 要 根据 其 目的 地 址 和 路 由 表 来 决定 如 何 发 送 。 
图 8-1 所 示 的 是 一 个 例子 网 络 ， 其 中 的 Linux 主机 拥有 eth0 和 ethl 两 个 网 络 接口 ，IP 地 址 
是 10.10.18.1 和 10.10.10.1， 它 们 分 别 连接 在 两 个 子 网 中 。 


10.10.10.5 
10.10.18.0/23 10.10.10.0/24 > a 
10.10.10.20 
Linux 主 机 
10.10.18.1 x 10.10.10.1 > Lr i 
下 eth0 ethl 
10.10.10.7 
x oo on8 
10.10.5.20/32 


图 8-1 例子 网 络 结构 


Linux 主机 承担 着 路 由 转发 的 功能 ， 它 把 10.10.18.0/23 子 网 与 10.10.10.0/24 子 网 互 连 


起 来 。 


# 
Ke 
De 


pi 四 
10. 
10. 
10. 
10. 
10. 


2 
O's 
# 


为 了 查看 Linux 主机 当前 的 路 由 表 ， 可 以 使 用 route 命令 ,假设 结果 显示 如 下 : 
route -n 

rnel IP routing table 

stination Gateway Genmark Flags Metric Ref Use ace 
105.20 10-10:10=7 255.255.255:255. GE 下 0 180 ethl 
UO TO LL0.50 255S255 .22555255 UGR: 2 0 187 eth1 
1021020.02.02020 255725525550R 0 0 0 633110 ethy 
10518=0 "0.050.0 oD.0 0 0 753430 eth0 
DG OLDOSAOELOSST25S552552 920 UG 由 0 47543 ethl 
UOT OUO0NLO0 T2550259192.0 0 UG El 0 89011 ethl 
Wl ol i i O000. 255.05050 U 0 0 564 1o 
02050 10.10.10.20 0.0.0.0 UG 3 0 183436 ethl 


route 是 一 条 有 关 路 由 的 命令 ，-n 选项 表示 不 对 列表 中 的 IP 地 址 进行 名 称 解析 ， 上 面 


的 rout 
条 路 由 
口 
口 


OOODD 


e 命令 用 于 显示 当前 的 路 由 表 。 从 以 上 显示 结果 可 知 ， 当 前 Linux 系统 中 总 共有 8 
信息 ， 其 中 每 一 列 的 含义 如 下 所 示 。 

Destination: 表示 目的 网 络 的 子 网 地 址 ， 也 可 以 是 一 台 主机 。 

Gateway: 表示 网 关 地 址 ， 或 者 说 是 下 一 站 的 路 由 器 地 址 ，0.0.0.0 表示 目的 地 在 本 
地 子 网 。 

Genmask: 表示 目的 网 络 的 掩 码 。 

Flags: 表示 标志 。 

Metric: 表示 主机 与 路 由 器 的 距离 ， 以 一 跳 为 1 单位 。 

Ref: 表示 对 该 路 由 的 索引 值 ，Linux 未 使 用 该 值 。 


ss 
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口 Use: 表示 该 路 由 的 使 用 次 数 。 

口 Iface: 表示 使 用 该 路 由 时 ， 数 据 包 要 通过 哪个 接口 发 送 。 

常见 的 路 由 标志 如 下 所 示 。 

口 U: 表示 该 路 由 可 以 使 用 。 

口 H: 表示 该 路 由 目的 地 是 到 一 台 主 机 , 当 没 有 该 标志 时 , 表示 目的 地 是 到 一 个 网 络 。 

口 G: 表示 该 路 由 是 到 一 个 网 关 或 另 一 台 路 由 器 ， 没 有 该 标志 时 ， 表 示 目 的 地 是 直接 

相连 的 网 络 。 

口 D: 表示 该 路 由 是 动态 创建 的 ， 没 有 该 标志 时 ， 表 示 是 静态 路 由 。 

口 M: 表示 该 路 由 已 被 动态 修改 。 

口 C: 表示 是 缓存 路 由 。 

在 以 上 显示 结果 中 ， 第 一 和 第 二 条 路 由 因为 有 HH 标志， 以 及 子 网 拖 码 都 是 255， 因 此 
是 主机 路 由 ， 它 们 的 目的 地 是 一 人 台 主 机 。 另 外 ， 主 机 到 这 两 条 路 由 的 网 关 距 离 都 是 1 跳 ， 
两 个 网 关 都 在 10.10.10.0/24 子 网 中 ， 而 接口 ethl 的 IP 地 址 也 在 这 个 子 网 ， 因 此 它们 对 应 
的 接口 都 是 ethl 。 

第 三 条 路 由 是 一 条 本 地 网 络 路 由 ， 因 为 主机 的 ethl 接口 也 在 10.10.10.0/24 子 网 内 。 另 
外 ,从 网 关 地 址 是 0.0.0.0, 以 及 没有 G 标志 也 可 以 看 出 这 一 点 。 第 四 条 路 由 与 第 三 条 相似 ， 
也 是 一 条 本 地 路 由 ， 只 不 过 它 使 用 的 是 eth0 网 络 接口 ， 并 且 是 10.10.18.0/23 子 网 。 

第 五 和 第 六 条 路 由 相似 ， 目 的 地 是 要 通过 其 他 网 关 转 发 的 远程 网 络 ， 这 一 点 也 可 以 通 
过 标志 位 G 看 出 来 。 所 有 目的 IP 地 址 落 在 这 两 个 子 网 内 的 数据 包 都 将 发 送 给 10.10.10.5 或 
10.10.10.7 网 关 进 行 转发 ， 与 第 一 条 和 第 二 条 路 由 一 样 ， 因 为 ethl 的 IP 地址 与 这 两 个 网 关 
位 于 同一 个 子 网 ， 因 此 它们 对 应 的 接口 都 是 ethl 。 

第 七 条 路 由 是 一 条 环 回 地 址 路 由 ， 其 特征 是 发 送 接口 是 lo， 目 的 地 址 是 127.0.0.0/8， 
以 及 网 关 是 0.0.0.0。 第 八条 路 由 是 默认 路 由 ， 也 就 是 说 ， 所 有 与 其 他 路 由 不 能 匹配 的 数据 
包 都 将 通过 这 条 路 由 出 去 ， 其 特征 是 目的 地 址 和 推 码 都 是 0.0.0.0。 

一 般 情 况 下 ， 每 一 个 网 络 接口 都 有 一 条 对 应 的 到 该 网 络 接口 所 在 子 网 的 路 由 条 目 ， 而 
所 有 的 网 关 都 是 位 于 本 地 网 络 中 的 。 只 有 这 样 ， 主 机 才能 按照 硬件 地 址 把 卫 数据 包 发 送 给 
网 关 。 另 外 ， 路 由 表 中 都 会 存在 一 条 默认 路 由 。 当 IP 数据 包 不 能 与 其 他 路 由 匹配 时 ， 总 能 
和 默认 路 由 匹配 。 

路 由 条 目 是 有 次 序 的 , IP 协议 栈 根据 数据 包 的 目的 地 址 与 路 由 表 中 的 条 目 依次 进行 比 
较 。 如 果 能 匹配 ， 则 把 数据 包 发 给 路 由 条 目 指定 的 网 关 ， 并 且 不 再 与 后 面 的 条 目 比 较 。 如 
果 都 不 能 匹配 ， 则 丢失 该 数据 包 。 推 码 位 数 越 多 的 条 目 ， 排 列 时 越 靠 前 ， 因 此 ， 主 机 路 由 
总 是 在 前 面 。 


外 说 明 : 如 果 两 个 条 目的 目的 地 址 和 掩 码 都 相同 , 则 Metric 值 较 小 的 排 在 前 面 . 如果 Metric 
值 还 是 一 样 ， 则 后 加 的 条 目 排 在 前 面 。 


8.1.3 ”静态 路 由 和 动态 路 由 


有 两 种 方法 配置 路 由 表 。 一 种 方法 称 为 静态 路 由 ， 它 是 由 管理 员 手工 或 通过 脚本 执行 
route 命令 对 路 由 表 进 行 配置 。 还 有 一 种 是 动态 路 由 ， 它 是 由 主机 上 的 某 一 进程 通过 与 其 他 


二 有 
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主机 或 路 由 器 交换 路 由 信息 后 再 对 路 由 表 进 行 配置 。 

静态 路 由 是 在 主机 或 路 由 器 中 设置 的 固定 的 路 由 表 。 只 有 在 网 络 管理 员 进 行 干预 时 ， 
静态 路 由 才 会 发 生变 化 。 由 于 在 网 络 结构 发 生变 化 时 ， 静 态 路 由 必须 要 由 人 工 进行 修改 。 
因此 ,静态 路 由 一 般 用 于 网 络 规模 不 大 、 网 络 拓扑 结构 相对 固定 的 网 络 中 。 静 态 路 由 的 优 
点 是 简单 、 高 效 、 可 靠 。 


全 说 明 : 在 路 由 表 的 所 有 路 由 条 目 中 ， 遂 态 路 由 的 优先 级 高 于 动态 路 由 。 当 IP 数据 包 的 
目的 地 址 同时 匹配 静态 路 由 与 动态 路 由 条 目 时 ， 以 静态 路 由 为 准 。 


动态 路 由 是 指 网 络 中 的 路 由 器 之 间 相 互通 信 ， 交 换 路 由 信息 ， 每 一 台 路 由 器 再 利用 收 
到 的 路 由 信息 更 新 自己 的 路 由 表 的 过 程 。 当 网 络 结构 发 生变 化 时 ， 附 近 的 路 由 器 能 及 时 发 
现 这 种 变化 ， 它 们 除了 更 新 自己 的 路 由 表 外 ， 还 会 把 这 种 变化 信息 传递 给 其 他 路 由 器 ， 引 
起 各 个 路 由 器 重新 启动 路 由 进程 ， 按 一 定 的 算法 重新 计算 路 由 ， 并 更 新 各 自 的 路 由 表 以 动 
态 地 反映 网 络 拓扑 的 变化 。 由 此 可 见 ， 动 态 路 由 能 实时 地 适应 网 络 结构 的 变化 ， 适 用 于 网 
络 规模 大 、 网 络 拓扑 复杂 的 网 络 。 当 然 ， 由 于 要 不 断 地 通过 网 络 交换 路 由 信息 ， 因 此 会 不 
同 程度 地 占用 网 络 带宽 。 还 有 ， 路 由 进程 运行 时 ， 要 消耗 一 定 的 CPU 资源 。 

静态 路 由 和 动态 路 由 具有 各 自 的 特点 和 适用 范围 。 一 般 情况 下 ， 都 把 动态 路 由 作为 静 
态 路 由 的 补充 。 其 做 法 是 当 一 个 数据 包 在 路 由 器 中 进行 寻 径 时 ， 路 由 器 首先 将 数据 包 与 静 
态 路 由 条 目 匹 配 ， 如 果 能 匹配 其 中 一 条 ， 则 按照 该 静态 路 由 条 目 转发 数据 包 。 如 果 都 不 能 
匹配 ， 则 再 使 用 动态 路 由 条 目 。 


8.2 Linux 议 态 路 由 配置 


静态 路 由 具有 简单 、 高 效 、 可 靠 的 特点 。 在 一 般 的 路 由 器 和 主机 中 ， 都 要 使 用 静态 路 
由 。Linux 系统 除了 需要 在 主机 中 配置 路 由 外 ， 还 可 以 配置 成 路 由 器 ， 以 便 能 为 其 他 主机 
提供 路 由 服务 。 下 面 介 绍 使 用 route 命令 对 Linux 进行 路 由 配置 的 方法 。 


8.2.1 route 命令 格式 
route 命令 用 来 对 路 由 表 中 的 条 目 进 行 管理 ， 在 路 由 表 中 添加 路 由 条 目的 命令 格式 如 下 : 


route [-v] add [-net|-host] target [netmask Nm] [gw Gw] [metric N] [[dev] 
TIE] 


在 路 由 表 中 删除 路 由 条 目的 命令 格式 如 下 : 

多 [-v] del [-net|-host] target [gw Gw] [netmask Nm] [metric N] [[dev] 

I 

在 以 上 格式 中 ，target 表示 目的 地 ， 可 以 是 网 络 ， 也 可 以 是 主机 。 如 果 是 网 络 ， 则 前 
面 的 选项 是 “-net”， 默 认 是 代表 主机 的 选项 “-host”。 如 果 目 的 地 是 网 络 ， 需 要 用 netmask 
选项 指定 网 络 拖 码 。gw 选项 指定 网 关 的 地 址 ，dev 选项 指定 网 络 接口 ， 添 加 路 由 条 目 时 ， 
这 两 个 选项 必须 要 指定 一 个 ,而 对 于 删除 路 由 条 目 来 说 , 指定 目的 地 址 和 掩 码 即 可 。metric 
选项 指定 跳跃 数 ，-v 选项 指定 输出 详细 提示 信息 。 下 面 是 一 些 route 命令 的 例子 。 
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route add -net 127.0.0.0 netmask 255.0.0.0 dev lo 


功能 : 添加 一 条 路 由 条 目 ， 指 定 目的 地 是 127.0.0.0/8 子 网 的 数据 包 由 lo 接口 出 去 。 


route add -net 192.56.76.0 netmask 255.255.255.0 gw 192.56.1.1 


功能 : 添加 一 条 路 由 条 目 ， 指 定 目 的 地 是 192.56.76.0/24 子 网 的 数据 包 发 往 192.56.1.1 
主机 。 


route add 192.56.1.1 eth0 


功能 : 添加 一 条 路 由 条 目 ， 指 定 目的 地 是 192.56.1.1 主机 的 数据 包 从 eth0 接口 出 去 。 
route add default gw 10.1.1.1 
功能 : 添加 一 条 默认 路 由 ， 所 有 不 能 与 其 他 路 由 条 目 匹 配 的 数据 包 都 发 往 10.1.1.1。 


route add -net 172.16.0.0 netmask 255.255.0.0 reject 


功能 : 所 有 发 往 172.16.0.0/16 子 网 的 数据 包 都 予以 拒绝 ， 即 不 允许 通过 。reject 选项 
表示 拒绝 数据 包 。 

route del -net 127.0.0.0 netmask 255.0.0.0 

功能 :删除 所 有 目的 网 络 地 址 是 127.0.0.0/8 子 网 的 路 由 条 目 。 
8.2.2 普通 客户 机 的 路 由 设置 

对 于 一 台 只 有 一 个 网 络 接口 的 Linux 主机 来 说 ， 路 由 的 配置 非常 简单 。 一 般 只 需要 两 
条 路 由 ， 一 条 是 到 本 地 子 网 的 路 由 ， 还 有 一 条 是 默认 路 由 ， 即 所 有 不 是 发 往 本 地 子 网 的 数 
据 包 都 发 往 这 条 默认 路 由 指定 的 网 关 地 址 。 此 外 ， 还 可 能 会 有 一 条 到 环 回 子 网 127.0.0.0/8 
的 路 由 ， 如 下 所 示 。 


[root@localhost /]# route -n 
Kernel IP routing table 


Destination Gateway Genmask Flags Metric Ref Use Iface 
E00s Ee0 0.0.0.0 255 25552550 0 0 0 0 eth0 
L200 0 0.0.0.0 255 9 人 U 0 0 0 Lo 

0.0.0.0 TOO O00 UG 0 0 0 eth0 


执行 以 上 命令 的 主机 只 有 一 块 网 卡 ， 名 为 eth0， 其 IP 地 址 是 10.10.1.29， 掩 码 是 
255.255.255.0。 从 以 上 结果 可 以 看 出 ,第 一 条 是 到 本 地 子 网 10.10.1.0/24 的 路 由 ， 网 关 地 址 
是 0.0.0.0， 因 此 是 直接 通信 的 ， 不 需要 其 他 网 关 转 发 。 第 二 条 是 到 环 回 子 网 的 路 由 ， 数 据 包 
从 环 回 接口 lo 出 去 ， 实 际 上 又 被 本 机 接收 。 第 三 条 是 默认 路 由 ， 通 过 网 关 10.10.1.1 转发 。 

如 果 此 时 主机 通过 拨号 等 方式 创建 了 一 个 点 对 点 的 虚拟 接口 ， 则 一 般 情 况 下 ， 自 动 会 
添加 与 这 个 虚拟 接口 有 关 的 两 条 路 由 。 一 条 是 通过 虚拟 接口 到 对 端 网 关 的 路 由 ; 还 有 一 条 也 
是 默认 路 由 。 但 使 用 的 是 通过 拨号 获得 的 网 关 ， 而 原来 的 那 条 默认 路 由 将 消失 ， 如 下 所 示 。 


[root@localhost 一 ]# route 
Kernel IP routing table 


Destination Gateway Genmask Flags Metric Ref Use Iface 
lol74,.191.A41l 二 255:255.255.2355 UH 0 0 0 PPP0 
L695254.000 本 2 TU 0 0 0 eth0 


a 
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oo 本 DER U 0 0 0 eth0 

default 本 9590S50 TU 0 0 0 PPP0 

[root@localhost ~]# 

以 上 是 拨号 成 功 后 看 到 的 路 由 表 ， 第 一 条 路 由 是 主机 路 由 ,表示 到 61.174.191.41 的 数 
据 包 通过 ppp0 接口 出 去 。 通 过 ppp0 接口 建立 的 是 一 种 点 对 点 的 连接 ， 对 方 地 址 就 是 
61.174.191.41。 第 四 条 路 由 就 是 自动 添加 的 默认 路 由 ， 表 示 所 有 的 数据 包 都 通过 ppp0 接口 
出 去 ， 送 给 耳 为 61.174.191.41 的 主机 ， 它 就 是 默认 网 关 。 


8.2.3 路 由 器 配置 实例 


对 于 专门 承担 路 由 器 功能 的 Linux 主机 来 说 ， 其 网 络 接口 一 般 有 多 个 ， 而 且 要 连接 到 
不 同 的 子 网 中 ,此 时 情况 要 复杂 得 多 。 为 了 使 Linux 承担 路 由 器 的 角色 , 首先 要 确保 Linux 
能 够 在 各 个 网 络 接口 之 间 转 发 数据 包 。 其 方法 是 输入 以 下 命令 ,使 ip_forward 文件 的 内 容 
为 1: 

echo "1">/proc/sys/net/ipv4/ip _ forward 

上 述 命令 的 结果 在 系统 重启 后 会 失效 ,为 了 使 系统 在 每 次 开机 后 能 自动 激活 IP 数据 包 
转发 功能 ， 需 要 编辑 配置 文件 /etc/sysctl.conf， 它 是 RHEL.6 的 内 核 参 数 配 置 文 件 ， 其 中 包 
含 了 ip_forward 参数 的 配置 。 具 体 方法 是 确保 在 /etc/sysctl.conf 文件 中 有 以 下 一 行 代码 : 

net.ipv4.ip forward = 1 

即 原来 的 值 如 果 是 0 的 ， 现 把 它 改 为 1。 然 后 执行 以 下 命令 使 之 生效 : 

# sysctl -P 

上 述 命令 的 功能 是 实时 修改 内 核 运行 时 的 参数 。IP 数据 包 转 发 功能 激活 后 ， 就 可 以 配 
置 路 由 器 了 。 下 面 以 图 8-2 所 示 的 网 络 结构 为 例 ， 介 绍 多 接口 Linux 主机 的 路 由 设置 。 


子 网 192.168.1.0/24 


子 网 10.10.1.0/24 
Linux 主 机 
192.168.1.1 
10.10.1.1 192.168.12 “上 一 | 出 口 网 关 
ethl eth0 
eth2 
10.10.2.1 广 - 


LL 


子 网 10.10.2.0/24 
图 8-2 用 于 例子 路 由 配置 的 网 络 结构 图 
在 图 8-2 中 ，Linux 主机 承担 着 为 内 网 和 外 网 转发 数据 包 的 路 由 器 角色 。 它 的 eth0 接 


口 与 外 网 连接 ，ethl 和 eth2 分 别 连接 着 一 个 内 部 子 网 ， 每 个 接口 的 IP 地 址 如 图 8-2 所 示 。 
假设 开始 时 ，Linux 主机 的 路 由 表 是 空 的 ， 则 为 了 能 够 访问 外 网 ， 需 要 用 以 下 命令 添加 一 


全 到 
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条 默认 路 由 。 


route add -net 0.0.0.0 netmask 0.0.0.0 gw 192.168.1.1 dev eth0 


以 上 命令 表示 目的 IP 不 能 与 其 他 路 由 条 目 匹 配 的 数据 包 都 将 通过 eth0 发 送 给 作为 出 
口 网 关 的 192.168.1.1 主机 。 有 了 这 条 路 由 后 ， 内 网 发 送 给 Linux 主机 的 访问 外 网 的 数据 包 
都 能 够 出 去 了 。 为 了 使 外 网 返回 的 数据 包 能 顺利 地 到 达 内 网 中 的 计算 机 ， 还 需要 添加 以 下 
两 条 路 由 。 

route add -net 10.10.1.0 netmask 255.255.255.0 dev ethl 

route add -net 10.10.2.0 netmask 255.255.255.0 dev eth2 

以 上 命令 中 ， 由 于 ethl 和 eth2 是 直接 与 子 网 10.10.1.0/24 和 10.10.2.0/24 相连 的 ， 
此 不 需要 指定 网 关 地 址 , 只 需 指定 网 络 接口 即 可 。 以 上 路 由 设 好 以 后 , 对 于 子 网 10.10.1.0/24 
和 10.10.2.0/24 中 的 主机 来 说 ， 只 需要 用 以 下 命令 把 默认 网 关 设 为 10.10.1.1 或 10.10.2.1 即 
可 访问 外 网 。 

route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.10.1.1 

route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.10.2.1 

此 时 ， 这 两 个 子 网 也 能 相互 通信 。 当 然 ， 为 了 使 外 网 返回 的 数据 包 能 够 回 到 内 网 ， 需 
要 在 出 口 网 关 192.168.1.1 上 用 以 下 命令 添加 路 由 。 


route add -net 10.10.1.0 netmask 255.255.255.0 gw 192.168.1.2 
route add -net 10.10.2.0 netmask 255.255.255.0 gw 192.168.1.2 


名 说明 : 如 果 规 划 中 的 内 部 子 网 其 IP 地 址 的 第 一 位 都 是 10， 则 上 面 的 两 条 命令 可 以 用 以 
下 命令 代替 。 


route add -net 10.0.0.0 netmask 255.0.0.0 gw 192.168.1.2 


如 果 192.168.1.0/24 子 网 中 的 主机 默认 网 关 也 设 为 192.168.1.1， 则 也 可 以 与 外 网 及 另 
两 个 内 部 子 网 通信 ， 但 发 给 内 网 的 数据 包 要 先 到 出 口 网 关 ， 再 到 Linux 主机 ， 然 后 才 到 内 
网 。 如 果 在 主机 上 用 以 下 命令 添加 路 由 ， 则 发 给 内 网 的 数据 包 不 需要 经 过 出 口 网 关 。 


route add -net 10.0.0.0 netmask 255.0.0.0 gw 192.168.1.2 


以 上 是 图 8-2 中 各 种 主机 的 路 由 设置 方法 。 如 果 内 网 存在 多 条 连接 外 网 的 路 径 , 例如 ， 
子 网 10.10.1.0/24 中 还 有 一 台 计算 机 与 外 网 有 连接 ， 并 且 也 具有 路 由 转发 的 功能 ， 则 此 时 
的 路 由 设置 将 变 得 复杂 。 因 为 此 时 网 络 中 的 计算 机 可 以 有 两 条 出 口 路 由 可 以 选择 。 


8.3 Linux 的 策略 路 由 


传统 的 路 由 是 根据 数据 包 的 目的 人 P 地 址 为 其 选择 路 径 , 在 某 些 场合 下 ,可 能 会 对 数据 
包 的 路 由 提 更 多 的 要 求 。 例 如 ， 要 求 所 有 来 自 A 网 的 数据 包 都 路 由 到 X 路 径 ， 所 有 TOS 
为 5 的 数据 包 选 择 路 径 X, 其 他 数据 包 选 择 路 径 Y 等 。 这 些 要 求 需要 通过 策略 路 由 来 达到 。 
本 节 主 要 介绍 在 Linux 系统 下 实现 策略 路 由 的 方法 。 
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8.3.1 策略 路 由 的 概念 


策略 路 由 技术 是 一 种 比 传统 的 基于 目的 IP 地 址 路 由 更 灵活 的 路 由 技术 。 它 不 仅 可 以 根 
据 人 PP 数据 包 的 目的 地 址 以 及 路 径 代价 的 估计 来 进行 路 由 选择 , 而 且 能 够 根据 不 同 的 实际 应 
和 需求， 制定 不 同 的 路 由 策略 ,将 路 由 选择 的 依据 扩大 到 IP 数据 包 的 源 地 址 、 上 层 协 议 类 
型 甚至 是 有 关 线 路 负载 的 情况 ， 大 大 提高 了 网 络 的 效率 和 灵活 性 。 

策略 路 由 是 通过 使 用 多 张 路 由 表 来 实现 的 。 传 统 的 路 由 算法 一 般 都 只 使 用 一 张 路 由 
表 ， 但 是 在 某 些 情况 下 ， 这 往往 是 不 够 的 ， 需 要 使 用 多 张 路 由 表 。 例 如 ， 一 个 内 网 的 路 由 
器 与 外 界 有 两 条 线路 相连 ， 这 两 条 线路 的 容量 是 有 限 的 。 如 果 希 望 保证 某 些 特殊 用 户 的 上 
网 速度 , 则 可 以 让 内 网 大 部 分 的 用 户 都 从 某 一 条 线路 走 , 而 只 让 特殊 用 户 从 另 一 条 线路 走 。 
此 时 ， 在 路 由 器 上 需要 使 用 两 张 路 由 表 ， 它 们 的 默认 网 关 分 别 存 在 于 不 同 的 线路 ， 然 后 根 
据 数据 包 的 源 地 址 来 决定 使 用 哪 张 路 由 表 。 

在 Linux 系统 中 ， 最 多 可 以 支持 255 张 路 由 表 ， 其 中 有 3 张 表 是 内 置 的。 编号 为 255 
的 表 也 称 为 本 地 路 由 表 (Local table)， 本 地 接口 地 址 、 广 播 地 址 ， 以 及 第 9 章 将 要 介绍 的 
NAT 地 址 都 放 在 这 个 表 。 该 路 由 表 由 系统 自动 维护 ， 管 理 员 不 能 直接 修改 。 

编号 为 254 的 表 也 称 为 主 路 由 表 (Main table)， 如 果 添 加 路 由 时 没有 指明 路 由 所 属 的 
表 ， 则 该 路 由 将 默认 会 添加 到 这 个 表 。 例 如 ，route 命令 所 添加 的 路 由 都 会 加 到 这 个 表 中 ， 
- 般 是 基于 目的 IP 的 普通 路 由 。 编 号 为 253 的 表 也 称 为 默认 路 由 表 (Default table)， 一 般 
情况 下 ， 推 荐 把 默认 的 路 由 放 在 这 张 表 ， 当 然 也 可 以 放 其 他 的 路 由 。 


全 注意 : 编号 为 0 的 路 由 表 不 允许 使 用 ， 保 留 给 系统 。 


使 用 了 多 张 路 由 表 后 ， 还 需要 有 一 种 机 制 ， 用 于 确定 什么 样 的 数据 包 使 用 哪 一 张 路 由 
表 。 在 Linux 系统 中 ， 路 由 表 的 选择 是 通过 设置 规则 来 实现 的 ， 规 则 是 策略 路 由 的 关键 所 
在 ， 它 包含 以 下 3 部 分 内 容 。 

口 使 用 本 规则 的 是 什么 样 的 数据 包 ; 

口 对 符合 本 规则 的 数据 包 采 取 什么 动作 ， 例 如 使 用 哪个 表 ; 

口 本 规则 的 优先 级 别 。 

每 一 条 规则 都 有 一 个 优先 级 别 值 ， 数 值 越 小 则 优先 级 别 越 高 ， 数 据 包 优先 与 级 别 高 的 
规则 匹配 。 例 如 ， 某 一 条 规则 可 以 这 样 描述 :“ 所 有 来 自 192.16.1.0 的 IP 数据 包 ， 使 用 路 
由 表 10， 规 则 的 优先 级 别 是 1500”。 


8.3.2 ”路 由 表 管理 


在 Linux 中 , 实现 策略 路 由 需要 名 为 iproute 的 软件 包 的 支持 。 当 默认 安装 RHEL 6 时 ， 
已 经 安装 了 该 软件 包 ， 可 以 通过 以 下 命令 查看 。 


# rpm -qalgrep iproute 
iproute-2.6.32-20.e16.i686 
# 


iproute-2.6.18-4.el5 软件 包 提供 了 有 关 策 略 路 由 的 jp 命令， 同时 还 提供 了 基于 CBQ 的 
流量 管理 技术 ， 可 以 更 加 有 效 地 管理 Internet 访问 。ip 命令 提供 了 对 路 由 、 设 备 、 策 略 路 
由 和 隧道 的 管理 ， 格 式 相当 复杂 ， 其 中 有 关 路 由 表 管 理 功 能 的 格式 如 下 : 


. 141 。 
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ip route <del | add | replace> ROUTE 


其 中 ，del、add、replace 分 别 表示 删除 、 增 加 、 和 置换 路 由 等 操作 。ROUTE 表示 一 条 路 
由 ， 由 一 个 子 网 地 址 和 一 些 参数 组 成 ， 此 处 的 子 网 地 址 还 是 指数 据 包 的 目的 卫 地 址 ， 是 路 
表 中 的 传统 路 由 。ip route 命令 和 route 有 些 相似 ， 但 它 有 更 多 的 选项 。 下 面 通过 例子 来 
解释 ip route 命令 的 用 法 。 

示例 1: 

ip route add 192.168.1.0/24 via 192.168.0.3 table 1 

功能 : 向 路 由 表 1 添加 一 条 路 由 ， 到 子 网 192.168.1.0/24 的 网 关 是 192.168.0.3 。 

示例 2: 

ip route add default via 192.168.0.4 table main 

功能 : 向 主 路 由 表 〈 编 号 为 254) 添加 一 条 路 由 ， 路 由 的 内 容 是 设置 192.168.0.4 成 为 

示例 3: 

ip route add 192.168.1.0/24 dev eth0 table 10 

功能 : 向 路 由 表 10 添加 一 条 路 由 ,所 有 到 192.168.1.0/24 子 网 的 数据 包 都 通过 eth0 接 
口 出 去 。 

示例 4: 

ip route delete 192.168.1.0/24 dev eth0 table 10 


功能 :从 路 由 表 10 删除 匹配 “192.168.1.0/24 dev eth0” 的 路 由 。 
示例 5: 


# ip route show 

192.168.99.0/24 dev eth0 scope link 
127.0.0.0/8 dev lo scope link 
default via 192.168.99.254 dev eth0 


功能 : 列 出 主 路 由 表 中 的 路 由 ，scope link 表示 直接 的 单 播 路 由 。 其 显示 结果 的 含义 与 
下 面 的 “route -n” 命 令 相 同 。 


# route -n 
Kernel IP routing table 


Destination Gateway Genmask Flags Metric Ref Use Iface 
192.168.99.0 0.0.0.0 2555255.25550 U 0 0 0 eth0 
1272020<0 0.0.0.0 255.0.0.0 U 0 0 Us le 
0.0.0.0 192.168.99.254 0.0.0.0 UG 0 0 0 eth0 
示例 6: 


除了 可 以 用 0 一 255 之 间 的 数字 表示 路 由 表 以 外 ， 还 可 以 用 一 个 字符 串 表示 一 个 路 由 
但 需要 把 数字 和 字符 串 的 对 应 关系 放 在 /etc/iproute2/rt_tables 文件 中 ， 例 如 : 


# ip route show table special 
Error: argument "special" is wrong: table id value is invalid 


以 上 命令 中 , 使 用 了 special 字符 串 作 为 路 由 表 名 称 。 但 由 于 /etc/iproute2/rt_tables 文件 


让 


.142 。 


中 还 没有 special 字符 


第 8 章 Linux 路 由 配置 


/etc/iproute2/rt_tables 文件 中 ， 使 数字 7 与 special 对 应 。 


# echo 7 special >> /etc/iproute2/rt tables 


然后 在 执行 下 列 命令 时 ， 就 可 以 使 用 special 来 表示 数字 7 了 。 


# ip route add default via 192.168.99.254 table special 


# ip route show table 7 

default via 192.168.99.254 dev eth0 

以 上 命令 中 , 前 者 在 special 路 由 表 中 添加 了 一 条 路 由 ， 后 者 的 作用 是 显示 路 由 表 7 中 
的 路 由 条 目 。 由 于 special 实际 上 就 代表 了 路 由 表 7， 因 此 执行 后 面 这 条 命令 时 ， 可 以 看 到 
前 者 添加 的 路 由 。 
名 说 明 : 在 存在 多 个 路 由 表 的 情况 下 ， 所 有 有 关 路 由 的 操作 ， 例 如 往 路 由 表 添加 路 由 ， 或 


者 在 路 由 表 里 寻 找 特 定 的 路 由 等 ， 都 需要 指明 要 操作 的 路 由 表 。 如 果 不 指明 ， 默 
认 操 作 的 是 主 路 由 表 。 这 与 传统 的 只 有 一 个 路 由 表 的 情况 不 同 ， 那 种 情况 下 ， 路 
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由 的 操作 是 不 需要 指明 路 由 表 的 。 


路 由 策略 管理 


对 应 的 数字 ， 因 此 出 错 。 可 以 用 以 下 命令 把 “7 special” 添 加 到 


由 于 存在 着 多 个 路 由 表 ， 因 此 需要 确定 数据 包 路 由 时 具体 选择 哪个 路 由 表 ， 这 个 任务 


是 通过 路 由 策略 完成 的 。 管 理 路 由 策略 的 命令 是 “ip rule”， 


显示 规则 等 操作 ， 其 命令 格式 如 下 所 示 。 


ip rule <add | delete> [匹配 项 目 ] [动作 ] 
ip rule flush 


ip rule show # 列 出 规则 


其 中 ,“ 匹 配 项 目 ” 可 以 是 以 下 一 些 选项 。 


OOOOODO 


a 


OOODOCDO 


中 


from <IP 地 址 >: 指定 匹配 的 源 卫 地 址 。 

to <IP 地 址 >: 指定 匹配 的 目的 IP 地 址 。 

证 < 网 络 接口 >: 指定 数据 包 从 哪个 网 络 接口 进来 。 

tos <TOS 值 >: 指定 匹配 的 他 包头 TOS 域 的 值 。 
fwmark < 标志 >: 指定 匹配 的 防火 墙 设 定 的 参数 标志 值 。 
priority < 优先 级 >: 指定 该 规则 的 优先 级 。 


) 作 ”可 以 是 以 下 一 些 选 项 。 


table < 路 由 表 >: 按 指定 的 路 由 表 进 行路 由 。 

nat <IP 地 址 >: 为 数据 包 设 定 NAT 地 址 。 

prohibit: 丢弃 该 包 ， 并 回复 ICMP prohibited 信息 。 

reject: 单纯 丢弃 该 包 ， 不 发 送 ICMP 信息 。 

unreachable: 丢弃 该 包 ， 并 回复 ICMP net unreachable 信息 。 


下 面 通过 例子 来 理解 ip rule 命令 的 使 用 方法 。 


# ip rule show 
0: from all lookup local 


# 添加 或 删除 规则 
# 清空 所 有 的 规则 


利用 它 可 以 进行 添加 、 删 除 、 
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32766: from all lookup main 

32767: from all lookup default 

以 上 命令 列 出 了 当前 所 有 的 规则 ， 默 认 情 况 下 ， 系 统 中 有 编号 为 0、32766 和 32767 
这 3 条 规则 。 规 则 0 是 不 能 被 更 改 或 删除 的 ， 它 是 优先 级 别 最 高 的 规则 。 从 其 规则 内 容 可 
以 看 出 , 该 规则 规定 ， 所 有 的 数据 包 都 必须 使 用 local 路 由 表 进 行路 由 。 也 就 是 说 ， 如 果 数 
据 包 和 local 路 由 表 中 的 某 一 路 由 条 目 匹 配 ， 则 直接 路 由 出 去 , 不 再 和 其 他 规则 匹配 。 规 则 
32766 和 32767 分 别 规定 数据 包 使 用 main 和 default 路 由 表 进 行路 由 ， 它 们 的 内 容 是 可 以 
进行 更 改 或 删除 的 。 

在 默认 情况 下 对 数据 包 进 行路 由 时 ， 首 先 会 根据 规则 0 在 本 地 路 由 表 里 寻 找 路 由 。 如 
果 目 的 地 址 是 本 网 络 、 或 是 广播 地 址 ， 就 可 以 在 local 路 由 表 中 找到 合适 的 路 由 。 如 果 路 由 
失败 ， 则 会 匹配 下 一 个 不 空 的 规则 , 默认 时 接 下 来 是 32766 规则 ， 它 规定 在 main 路 由 表 里 
寻找 匹配 的 路 由 。 如 果 也 失败 ， 则 会 匹配 32767 规则 ， 即 在 default 路 由 表 中 寻找 匹配 的 路 
由 。 如 果 还 是 失败 ， 则 路 由 将 最 终 失 败 。 


外 说 明 : 从 以 上 过 程 可 以 看 出 ， 策 略 路 由 是 往 前 兼容 的 。 


下 面 的 命令 在 规则 链 中 添加 一 条 优先 级 为 1234 的 规则 ， 规 定 所 有 来 自 10.10.1.0/24 子 
网 的 数据 包 使 用 编号 为 10 的 路 由 表 。 


# ip rule add from 10.10.1.0/24 priority 1234 table 10 


下 面 的 命令 在 规则 链 中 添加 一 条 优先 级 为 4321 的 规则 , 丢弃 所 有 来 自 192.168.3.112/32 
子 网 ，TOS 值 为 10 的 数据 包 ， 并 向 发 送 数据 包 的 主机 回复 ICMP 出 错 信息 。 
# ip rule add from 192.168.3.112/32 tos 0x10 pref 4321 prohibit 


以 上 两 条 命令 执行 后 ， 可 以 再 次 查看 一 下 规则 链 。 


# ip rule show 

0: from all lookup 255 

1234: from 10.10.1.0/24 lookup 10 

4321: from 192.168.3.112 tos lowdelay lookup main prohibit 
32766: from all lookup main 

32767: from all lookup default 

# 


可 见 ， 规 则 链 中 已 经 依次 增加 了 刚才 添加 的 规则 。 
8.3.4 策略 路 由 应 用 实例 


在 实际 网 络 应 用 中 ， 一 个 内 网 往往 不 止 一 个 出 口 ， 经 常会 希望 为 特定 的 子 网 选择 不 同 
的 出 口 线路 。 采 用 传统 的 路 由 无 法 达到 这 个 目的 ， 因 为 同一 子 网 的 数据 包 其 特征 是 源 地 址 
的 网 络 号 相同 , 而 传统 的 路 由 是 根据 目的 地 址 进行 的 ， 跟 数 据 包 的 源 I 了 P 地 址 没有 关系 ， 
此 无 法 根据 源 地 址 进行 路 由 。 此 时 ， 使 用 策略 路 由 就 可 以 解决 这 个 问题 。 

如 图 8-3 所 示 是 一 个 例子 网 络 结构 ,承担 路 由 器 功能 的 Linux 主机 有 3 个 接口 , 一 个 与 内 
网 连接 ， 一 个 与 Cernet 网 络 连接 ， 还 有 一 个 与 ChinaNet 网 络 连接 ， 其 接口 名 称 与 网 关 IP 地 址 
如 图 中 所 示 。 现 要 求 在 Linux 主机 上 配置 策略 路 由 ， 使 内 网 中 源 耳 地址 的 网 络 号 是 192.168 
的 数据 包 路 由 到 Cemet 网 络 ， 而 源 四 地 址 的 网 络 号 是 172.16 的 数据 包 都 从 ChinaNet 走 。 
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10.10.1.1 


Cernet 
eth0 
内 网 Linux 主 机 
ethl 
10.10.2.1 
ChinaNet 


图 8-3 用 于 策略 路 由 配置 的 例子 网 络 结构 图 


为 了 达到 上 述 目 的 ， 需 要 在 Linux 主机 中 定义 两 个 路 由 表 ， 然 后 在 这 两 个 路 由 表 中 分 
别 设置 到 Cernet 和 ChinaNet 的 默认 路 由 。 接 着 还 要 定义 路 由 策略 ， 根 据 数 据 包 的 源 全 地 
址 分 别 选择 不 同 的 路 由 表 。 为 了 使 路 由 命令 更 加 形象 ， 首 先 为 路 由 表 定 义 一 个 名 称 ， 命 令 
如 下 : 

echo 1 cernet >> /etc/iproute2/rt tables 

echo 2 chinanet >> /etc/iproute2/rt tables 

上 述 命 令 在 /etc/iproute2/rt_tables 文件 的 最 后 加 入 两 行 ， 为 路 由 表 1 和 2 分 别 定义 一 个 
名 称 ， 可 以 通过 以 下 命令 查看 此 时 /etc/iproute2/rt_tables 文件 的 内 容 。 


# more /etc/iproute2/rt tables 


# 

# reserved values 
# 

255 local 

254 main 

253 default 

0 unspec 

# 

# local 

# 

#1 inr.ruhep 
1 cernet 


2 chinanet 


可 以 看 到 ， 除 了 默认 定义 的 local、main 和 default 路 由 表 名 称 及 其 对 应 的 编号 外 ， 最 
后 两 行 还 为 路 由 表 1 和 2 定义 了 cernet 和 chinanet 名 称 , 以 后 在 ip 命令 中 ,cernet 和 chinanet 
将 代表 路 由 表 1 和 2。 确 定 了 路 由 表 以 后 ， 接 下 来 可 以 在 这 两 个 路 由 表 中 分 别 加 入 以 下 路 
由 条 目 。 


ip route add default via 10.10.1.1 dev eth0 table cernet 
ip route add default via 10.10.2.1 dev ethl table chinanet 


以 上 两 条 命令 分 别 在 cernet 和 chinanet 路 由 表 中 加 入 了 默认 网 关 。 根 据 图 8-3 ,在 cernet 
表 中 ， 所 有 的 数据 包 都 通过 接口 eth0 发 往 网 关 10.10.1.1， 而 在 chinanet 表 中 ， 所 有 的 数据 
包 都 通过 接口 ethl 发 往 网 关 10.10.2.1。 下 面 再 继续 定义 路 由 策略 : 


ip rule add from 192.168.0.0/16 table cernet 
ip rule add from 172.16.0.0/12 table chinanet 


以 上 两 条 命令 定义 了 两 条 规则 , 规定 所 有 来 自 192.168.0.0/16 子 网 的 数据 包 使 用 cernet 
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路 由 表 ， 而 所 有 来 自 172.16.0.0/12 子 网 的 数据 包 使 用 chinanet 路 由 表 。 如 果 还 需要 为 更 多 
的 子 网 选择 线路 ， 可 以 继续 添加 类 似 的 规则 。 当 然 ， 也 可 以 定义 规则 ， 为 某 些 主机 选择 不 
同 的 线路 。 

以 上 命令 完成 后 ， 就 达到 了 让 内 部 两 个 子 网 分 别 通过 不 同 线路 访问 Internet 的 目的 。 
对 于 其 他 子 网 来 说 ， 它 们 的 数据 包 与 上 述 两 条 规则 都 不 匹配 ， 它 们 将 使 用 main 路 由 表 , 通 
过 main 路 由 表 上 设置 的 路 由 条 目 进行 路 由 。 如 果 main 路 由 表 不 设置 到 Internet 的 默认 网 
关 ， 其 他 子 网 将 不 能 访问 Internet。 


8.4 小 结 


路 由 是 网 络 层 最 基本 的 功能 之 一 ， 只 有 通过 正确 的 路 由 设置 ， 数 据 包 才能 顺利 地 到 达 
目的 主机 。 本 章 首先 讲述 了 路 由 的 基本 概念 ， 包 括 路 由 原理 、 路 由 表 、 静 态 路 由 和 动态 路 
由 等 ， 然 后 介绍 使 用 route 命令 进行 路 由 配置 的 方法 ;最 后 介绍 了 有 关 策 略 路 由 的 知识 及 
配置 方法 。 
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随 着 Intemet 规模 的 迅速 扩大 ， 安 全 问题 也 越 来 越 重 要 ， 而 构建 防火 墙 是 保护 系统 免 
受 侵害 的 最 基本 的 一 种 手段 。 虽然 防火 墙 并 不 能 保证 系统 绝对 的 安全 , 但 由 于 它 简 单 易 行 、 
工作 可 靠 、 适 应 性 强 ， 还 是 得 到 了 广泛 的 应 用 。 本 章 主要 介绍 与 Linux 系统 紧密 集成 的 
iptables 防火 墙 的 工作 原理 、 命 令 格 式 ， 以 及 一 些 应 用 实例 。 


9.1 iptables 防火 墙 介绍 


netfilter/iptables 是 Linux 系统 提供 的 一 个 非常 优秀 的 防火 墙 工具 。 它 完全 免费 、 功 能 
强大 、 使 用 灵活 、 占 用 系统 资源 少 ， 可 以 对 经 过 的 数据 进行 非常 细致 的 控制 。 本 节 将 介绍 
有 关 iptables 防火 墙 的 基本 知识 ， 包 括 netfilter 框架 、iptables 防火 墙 结构 与 原理 、iptables 
命令 格式 等 内 容 。 

9.1.1 netfilter 框架 

Linux 内 核 包 含 了 一 个 强大 的 网 络 子 系统 ， 名 为 netfilter。 它 可 以 为 iptables 内 核 防 火 
墙 模块 提供 有 状态 或 无 状态 的 包 过 滤 服 务 ， 如 NAT、IP 伪装 等 ， 它 也 可 以 因 高 级 路 由 或 连 
接 状 态 管理 的 需要 而 修改 IP 头 信息 。netfilter 位 于 Linux 网 络 层 和 防火 墙 内 核 模块 之 间 ， 
如 图 9-1 所 示 。 


iptables 命令 接 开 用 户 层 


[1 
1 


内 核 接口 内 核 层 


‘ iptables 
TCP UDP 内 核 模块 


人 | 


网 络 层 (IP) Netfilter 


网 络 接口 
图 9-1 netfilter 在 内 核 中 的 位 置 
虽然 防火 墙 模块 构建 在 Linux 内 核 ， 并 且 要 对 流 经 卫 层 的 数据 包 进行 处 理 。 但 它 并 没 
有 改变 卫 协议 栈 的 代码 , 而 是 通过 netfilter 模块 将 防火 墙 的 功能 引入 IP 层 ， 从 而 实现 防火 
墙 代 码 和 卫 协议 栈 代 码 的 完全 分 离 。netfilter 模块 的 结构 如 图 9-2 所 示 。 
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上 层 协议 栈 
( LOCAL OUT |) 
输出 包 路 由 


数据 包 进入 数据 包 出 去 
- 一 (eserounve) -| 输入 包 路 由 上 (sosww Posr kourNe) 一 


图 9-2 netfilter 结构 框架 图 


对 IPv4 协议 来 说 ,netfilter 在 IP 数 据 包 处 理 流程 的 5 个 关键 位 置 定义 了 5 个 钩子 (hook) 
函数 。 当 数据 包 流 经 这 些 关 键 位 置 时 ， 相 应 的 钩子 函数 就 被 调用 。 从 图 9-2 中 可 以 看 到 ， 
数据 包 从 左边 进入 IP 协议 栈 , 进 行 IP 校 验 以 后 , 数据 包 被 第 一 个 钩子 函数 PRE_ ROUTING 
处 理 ， 然 后 就 进入 路 由 模块 ， 由 其 决定 该 数据 包 是 转发 出 去 还 是 送 给 本 机 。 

若 该 数据 包 是 送 给 本 机 的 , 则 要 经 过 钧 子 函数 LOCAL IN 处理 后 传递 给 本 机 的 上 层 协 
议 。 若 该 数据 包 应 该 被 转发 ， 则 它 将 被 钩子 函数 FORWARD 处 理 ， 然 后 还 要 经 钩子 函数 
POST_ ROUTING 处 理 后 才能 传输 到 网 络 。 本 机 进程 产生 的 数据 包 要 先 经 过 钧 子 函数 
LOCAL_OUT 处 理 后 ， 再 进行 路 由 选择 处 理 ， 然 后 经 过 钩子 函数 POST_ROUTING 处 理 后 
再 发 送 到 网 络 。 

外 说 明 : 内 核 模块 可 以 将 自己 的 函数 注册 到 钩子 函数 中 ， 每 当 有 数据 包 经 过 该 钧 子 点 时 ， 
钩子 函数 就 会 按照 优先 级 依次 调用 这 些 注册 的 函数 ， 从 而 可 以 使 其 他 内 核 模块 参 
与 对 数据 包 的 处 理 。 这 些 处 理 可 以 是 包 过 滤 、NAT 以 及 用 户 自 定义 的 一 些 功能 。 


9.1.2 iptables 防火 墙 内 核 模块 


netfilter 框架 为 内 核 模块 参与 IP 层 数据 包 处 理 提 供 了 很 大 的 方便 。 内 核 的 防火 墙 模块 
正 是 通过 把 自己 的 函数 注册 到 netfilter 的 钧 子 函数 这 种 方式 介入 了 对 数据 包 的 处 理 。 这 些 
函数 的 功能 非常 强大 ， 按 照 功 能 来 分 的 话 主要 有 4 种 ， 包 括 连接 跟踪 、 数 据 包 过 滤 、 网 络 
地 址 转换 (NAT) 和 对 数据 包 进 行 修改 。 其 中 ，NAT 还 分 为 SNAT 和 DNAT， 分 别 表示 源 
网 络 地 址 转换 和 目的 网 络 地 址 转换 ， 内 核 防 火 墙 模块 函数 的 具体 分 布 情况 如 图 9-3 所 示 。 


上 层 协议 栈 


包含 在 mangle 
和 filter 表 中 


包含 在 mangle、 


INPUT 性 OUTPUT 链 nat 和 filter 表 中 


输出 包 路 由 


PREROUTING 链 9 输入 包 路 由 (rorwarDE POSTROUTING 链 


包含 在 mangle 包含 在 mangle 包含 在 mangle 
和 nat 表 中 和 filter 表 中 和 nat 表 中 


图 9-3 iptables 防火 墙 内 核 模块 结构 框架 图 


数据 包 进 输入 包 路 由 
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由 图 9-3 可 以 看 出 , 防火墙 模块 在 netfilter 的 LOCAL IN、FORWARD 和 LOCAL OUT 
3 个 位 置 分 别 注 册 了 数据 包 过 滤 函 数 。 数 据 包 经 过 这 些 位 置 时 ， 防 火 墙 模块 要 对 数据 包 进 
行 过 滤 。 这 三 个 位 置 也 称 为 三 条 链 ， 名 称 分 别 为 INPUT、FORWARD 和 OUTPUT, 它们 共 
同 组 成 了 一 张 过 滤 表 ， 每 条 链 可 以 包含 各 种 规则 ， 每 一 条 规则 都 包含 0 个 或 多 个 匹配 以 及 
一 个 动作 。 当 数据 包 满 足 所 有 的 匹配 时 ， 则 过 滤 函 数 将 执行 设 定 的 动作 ， 以 便 对 数据 包 进 
行 过 滤 。 
各 注意 : 这 些 规则 的 次 序 是 很 重要 的 ， 过 滤 函 数 对 数据 包 执行 了 某 一 规则 动作 后 ， 对 数据 
包 的 处 理 即 告 结束 ， 即 使 这 个 数据 包 还 满足 后 面 其 他 规则 的 所 有 匹配 ， 也 不 会 执 
行 那些 规则 所 设 定 的 动作 。 


从 图 9-3 中 可 以 看 出 ， 除 了 过 滤 表 以 外 , 在 PRE_ ROUTING、LOCAL OUT 和 了 POST _ 
ROUTING 3 个 位 置 各 有 一 条 有 关 NAT 的 链 ， 名 称 分 别 为 PREROUTING、OUTPUT 和 
POSTROUTING， 它 们 组 成 了 NAT 表 。NAT 链 里 面 也 可 以 包含 各 种 规则 ， 它 指出 了 如 何 
对 数据 包 的 地 址 进行 转换 。 

此 外 ，5 个 钧 子 函 数位 置 的 mangle 链 还 组 成 了 一 张 mangle 表 。 这 个 表 的 主要 功能 是 
根据 规则 修改 数据 包 的 一 些 标志 位 ， 如 TTL、TOS 等 ， 也 可 以 在 内 核 空间 为 数据 包 设置 一 
些 标志 。 防 火 墙 内 的 其 他 规则 或 程序 (如 tc 等 ) 可 以 利用 这 种 标志 对 数据 包 进行 过 滤 或 高 
级 路 由 。 

以 上 介绍 的 是 iptables 防火 墙 的 内 部 结构 。Linux 系统 还 提供 了 iptables 防火 墙 的 用 户 
接口 ， 它 可 以 在 上 述 各 张 表 所 包含 的 链 中 添加 规则 ， 或 者 修改 、 删 除 规则 ， 从 而 可 以 根据 
需要 构建 自己 的 防火 墙 。 具体 来 说 ， 用 户 是 通过 输入 iptables 命令 来 实现 上 述 功能 的 。 


9.1.3 iptables 命令 格式 


在 RHEL 6 中 ，iptables 命令 由 iptables-1.4.7-5.1.el6_2.i686 软件 包 提供 。 默 认 时 ， 系 统 
已 经 安装 了 该 软件 包 。 因 此 ， 用 户 可 以 直接 输入 iptables 命令 对 防火 墙 中 的 规则 进行 管理 。 
iptables 命令 相当 复杂 ， 具 体格 式 如 下 所 示 。 

iptables [-t 表 名 ] < 命令 > [ 链 名 ] [规则 号 ] [规则 ] [-j 目标 ] 


-t 选项 用 于 指定 所 使 用 的 表 ，iptables 防火 墙 默认 有 filter、nat 和 mangle 3 张 表 ， 也 可 
以 是 用 户 自 定义 的 表 。 表 中 包含 了 分 布 在 各 个 位 置 的 链 ，iptables 命令 所 管理 的 规则 就 是 存 
在 于 各 种 链 中 的 。 该 选项 不 是 必需 的 ， 如 果 未 指定 一 个 具体 的 表 ， 则 默认 使 用 的 是 filter 表 。 

命令 选项 是 必须 要 有 的 ， 它 告诉 iptables 要 做 什么 事情 ， 是 添加 规则 、 修 改 规则 还 是 
删除 规则 。 有 些 命令 选项 后 面 要 指定 具体 的 链 名 称 ， 而 有 些 可 以 省 略 。 此 时 ， 是 对 所 有 的 
链 进行 操作 ， 还 有 一 些 命 令 要 指定 规则 号 。 有 具体 的 命令 选项 名 称 及 其 与 后 续 选 项 的 搭配 形 
式 如 下 所 示 。 

示例 1: 

-A ”< 链 名 > ”< 规则 > 


功能 : 在 指定 链 的 末尾 添加 一 条 或 多 条 规则 。 
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示例 2: 


-D < 链 名 > < 规则 > 
-D < 链 名 > ”< 规则 号 > 


功能 :从 指定 的 链 中 删除 一 条 或 多 条 规则 。 可 以 按照 规则 的 序号 进行 删除 ， 也 可 以 删 


除 满足 匹配 条 件 的 规则 。 


则 。 


示例 3: 

-R < 链 名 > < 规则 号 > < 规则 > 

功能 : 在 指定 的 链 中 用 新 的 规则 置换 掉 某 一 规则 号 的 旧 规 则 。 

示例 4: 

-I < 链 名 > [规则 号 ] < 规则 > 

功能 : 在 给 出 的 规则 序号 前 插入 一 条 或 多 条 规则 ， 如 果 没 有 指定 规则 号 ， 则 默认 是 1。 
示例 5: 

-LI [ 链 名 ] 

功能 : 列 出 指定 链 中 的 所 有 规则 ， 如 果 没 有 指定 链 ， 则 所 有 链 中 的 规则 都 将 被 列 出 。 
示例 6: 

-F [ 链 名 ] 

功能 :删除 指定 链 中 的 所 有 规则 ， 如 果 没 有 指定 链 ， 则 所 有 链 中 的 规则 都 将 被 删除 。 
示例 7: 

-N < 链 名 > 

功能 : 建立 一 个 新 的 用 户 自 定义 链 。 

示例 8: 

-X [ 链 名 ] 

功能 :删除 指定 的 用 户 自 定义 链 ， 这 个 链 必须 没有 被 引用 ， 而 且 里 面 也 不 包含 任何 规 
如 果 没 有 给 出 链 名 ， 这 条 命令 将 试 着 删除 每 个 非 内 建 的 链 。 

示例 9: 

-P < 链 名 > < 目标 > 


功能 : 为 指定 的 链 设置 规则 的 默认 目标 ， 当 一 个 数据 包 与 所 有 的 规则 都 不 匹配 时 ， 将 


采用 这 个 默认 的 目标 动作 。 


示例 10: 

-了 E < 旧 链 名 > < 新 链 名 > 

功能 : 重新 命名 链 名 ， 对 链 的 功能 没有 影响 。 

以 上 是 有 关 iptables 命令 格式 中 有 关 命 令 选项 部 分 的 解释 。iptables 命令 格式 中 的 规则 


部 分 由 很 多 选项 构成 ， 主 要 指定 一 些 IP 数据 包 的 特征 ， 例 如 ， 上 一 层 的 协议 名 称 、 源 人 P 


a 
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地 址 、 目 的 他 地址、 进出 的 网 络 接口 名 称 等 ， 下 面 列 出 构成 规则 的 常见 选项 。 
口 -p< 协议 类 型 >， 指定 上 一 层 协 议 ， 可 以 是 itemp、tcp、udp 和 all。 
口 -s<IP 地 址 / 掩 码 >， 指 定 源 IP 地 址 或 子 网 。 
口 -d<IP 地 址 / 掩 码 >: 指定 目的 IP 地 址 或 子 网 。 
口 -i< 网 络 接口 >: 指定 数据 包 进 入 的 网 络 接口 名 称 。 
口 -o< 网 络 接口 >: 指定 数据 包 出 去 的 网 络 接口 名 称 。 


会 注意: 上述 选 项 可 以 进行 组 合 ， 每 一 种 选项 后 面 的 参数 前 可 以 加 “!”， 表 示 取 反 。 


对 于 -p 选项 来 说 ， 确 定 了 协议 名 称 后 ， 还 可 以 有 进一步 的 子 选项 ， 以 指定 更 细 的 数据 
包 特 征 。 常 见 的 子 选项 如 下 所 示 。 
-p tcp --sport <port>: 指定 TCP 数据 包 的 源 端口 。 
-ptcp --dport <port>: 指定 TCP 数据 包 的 目的 端口 。 
-ptcp --syn: 具有 SYN 标志 的 TCP 数据 包 ， 该 数据 包 要 发 起 一 个 新 的 TCP 连接 。 
-p udp --sport <port>: 指定 UDP 数据 包 的 源 端口 。 
-p udp --dport <port>: 指定 UDP 数据 包 的 目的 端口 。 
-p icmp --icmp-type <type>: 指定 icmp 数据 包 的 类 型 ， 可 以 是 echo-reply、 
echo-request 等 。 

上 述 选项 中 ，port 可 以 是 单个 端口 号 ， 也 可 以 是 以 portl:port2 表示 的 端口 范围 。 每 一 
选项 后 的 参数 可 以 加 “!”， 表 示 取 反 。 

上 面 介 绍 的 这 些 规则 选项 都 是 iptables 内 置 的 ，iptables 软件 包 还 提供 了 一 套 扩展 的 规 
则 选项 。 使 用 时 需要 通过 -m 选项 指定 模块 的 名 称 ， 再 使 用 该 模块 提供 的 选项 。 下 面 列 出 几 
个 模块 名 称 和 其 中 的 选项 ， 大 部 分 的 选项 也 可 以 通过 “!” 取 反 。 

-m multiport --sports <Port，Port，…> 

功能 : 指定 数据 包 的 多 个 源 端口 ， 也 可 以 以 portl:port2 的 形式 指定 一 个 端口 范围 。 

-m multiport --dports <port, port, *…> 

功能 :指定 数据 包 的 多 个 目的 端口 ， 也 可 以 以 portl:port2 的 形式 指定 一 个 端口 范围 。 


= maltiport ==ports <porty portr “> 


OOOOODO 


功能 : 指定 数据 包 的 多 个 端口 ， 包 括 源 端口 和 目的 端口 ， 也 可 以 以 portl:port2 的 形式 
指定 一 个 端口 范围 。 


-nm state ==state <state> 


功能 : 指定 满足 某 一 种 状态 的 数据 包 ，state 可 以 是 INVALID、ESTABLISHED、NEW 
和 RELATED 等 ， 也 可 以 是 它们 的 组 合 ， 用 “,” 分 隔 。 


-m connlimit --connlimit-above <n> 


功能 : 用 于 限制 客户 端 到 一 台 主 机 的 TCP 并 发 连接 总 数 ，n 是 一 个 数值 。 


-m mac --mac-source <address> 


i 
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功能 : 指定 数据 包 的 源 MAC 地 址 ，address 是 xx:xx:xx:XX:XX:xXx 形式 的 48 位 数 。 
-m 选项 可 以 提供 的 模块 名 和 子 选项 内 容 非常 多 ， 它 为 iptables 提供 了 非常 强大 、 细 致 的 
功能 。 所 有 的 模块 名 和 子 选 项 可 以 通过 “man iptables” 命 令 查看 iptables 命令 的 手册 页 获得 。 
最 后 ，iptables 命令 中 的 -j 选项 可 以 对 满足 规则 的 数据 包 执行 指定 的 操作 ， 其 后 的 “ 目 
标 ” 可 以 是 以 下 内 容 。 
口 -jACCEPT: 将 与 规则 匹配 的 数据 包 放 行 ， 并 且 该 数据 包 将 不 再 与 其 他 规则 匹配 ， 
而 是 跳 向 下 一 条 链 继续 处 理 。 
口 -jREJECT: 拒绝 所 匹配 的 数据 包 ， 并 向 该 数据 包 的 发 送 者 回复 一 个 ICMP 错误 通 
知 。 该 处 理 动作 完成 后 ， 数 据 包 将 不 再 与 其 他 规则 匹配 ， 而 且 也 不 跳 向 下 一 条 链 。 
口 -jj DROP: 丢弃 所 匹配 的 数据 包 ， 不 回复 错误 通知 。 该 处 理 动作 完成 后 ， 数 据 包 将 
不 再 与 其 他 规则 匹配 ， 而 且 也 不 跳 向 下 一 条 链 。 
口 -j REDIRECT: 将 匹配 的 数据 包 重 定向 到 另 一 个 位 置 ， 该 动作 完成 后 , 会 继续 与 其 


他 规则 进行 匹配 。 
口 -jjLOG: 将 与 规则 匹配 的 数据 包 的 相关 信息 记录 在 日 志 (/var/log/message) 中 ， 并 
继续 与 其 他 规则 匹配 。 


口 -j < 规则 链 名 称 >: 数据 包 将 会 传递 到 另 一 规则 链 ， 并 与 该 链 中 的 规则 进行 匹配 。 
除了 上 述 目标 动作 外 ， 还 有 一 些 与 NAT 有关 的 目标 ， 将 在 9.4 节 中 讲述 。 所 有 的 目标 
也 可 以 通过 查看 iptables 命令 的 手册 页 获得 。 


9.2 iptables 主机 防火 墙 


主机 防火 墙 主要 用 于 保护 防火 墙 所 在 的 主机 免 受 外界 的 攻击 。 当 一 台 服 务 器 为 外 界 提 
供 比较 重要 的 服务 ， 或 者 一 台 客 户 机 在 不 安全 的 网 络 环境 中 使 用 时 ， 都 需要 在 计算 机 上 安 
装 防火 墙 。 本 节 主 要 介绍 iptables 主机 防火 墙 规则 的 配置 ,包括 iptables 防火 墙 的 运行 与 管 
理 、RHEL 6 默认 防火 墙 规则 的 解释 、 用 户 根据 需要 添加 自己 的 防火 墙 规则 等 内 容 。 


9.2.1 iptables 防火 墙 的 运行 与 管理 


RHEL 6 默认 安装 时 ， 已 经 在 系统 中 安装 了 iptables 软件 包 ， 可 以 用 以 下 命令 查看 。 
[root@localhost ~]# rpm -qa | grep iptables 

iptables-1.4.7-5.1.e16 2.i686 

iptables-ipv6-1.4.7-5.1.e16 2.i686 

# 


一 般 情况 下 ，iptable 开机 时 都 已 经 默认 运行 。 但 与 其 他 一 些 服务 不 同 ，iptables 的 功能 
是 管理 内 核 中 的 防火 墙 规则 ， 不 需要 常 驻 内 存 的 进程 。 如 果 对 防火 墙 的 配置 做 了 修改 ， 并 
且 想 保存 已 经 配置 的 iptables 规则 ， 可 以 使 用 以 下 命令 。 

# /etc/rc.d/init.d/iptables save 

此 时 ， 所 有 正在 使 用 的 防火 墙 规则 将 保存 到 /etc/sysconfig/iptables 文件 中 ， 可 以 用 以 下 
命令 查看 该 文件 的 内 容 。 

# more /etc/sysconfig/iptables 


"Rs 
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# Generated by iptables-save v1.4.7 on Thu Sep 20 11:32:49 2012 

*filter 

:INPUT ACCEPT [0:0] 

:FORWARD ACCEPT [0:0] 

OUTPUT ACCEPT [2237:2371316] 

:RH-Firewall-1-INPUT - [0:0] 

-A INPUT -]j RH-Firewall-1-INPUT 

-A FORWARD -j] RH-Firewall-1-INPUT 

-A RH-Firewall-1-INPUT -i lo -j ACCEPT 

-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT 

-A RH-Firewall-1-INPUT -p esp -]j ACCEPT 

-A RH-Firewall-1-INPUT -p ah -j ACCEPT 

-A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -]j ACCEPT 
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -]j ACCEPT 

-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT 

-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -]j ACCEPT 

-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT 
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT 
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT 
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 25 -j ACCEPT 
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 808 -j 
ACCEPT 

-A RH-Firewall-1-INPUT -P tcp -m state --state NEW -m tcp --dport 8080 -j 
ACCEPT 


可 以 看 到 ，/etc/sysconfig/iptables 文件 中 包含 了 一 些 iptables 规则 ， 这 些 规则 的 形式 与 
iptables 命令 类 似 ， 但 也 有 区 别 。 
全 注意 : 一 般 不 建议 用 户 手工 修改 这 个 文件 的 内 容 ， 这 个 文件 只 用 于 保存 启动 iptables 时 ， 
需要 自动 应 用 的 防火 墙 规则 。 
以 上 看 到 的 实际 上 是 默认 安装 RHEL 6 时 该 文件 中 的 内 容 ， 其 所 确定 的 规则 的 解释 见 
9.2.2 节 。 还 有 一 种 保存 iptables 规则 的 方法 是 使 用 iptables-save 命令 ， 格 式 如 下 : 
# iptables-save > abc 
此 时 ， 正 在 使 用 的 防火 墙 规则 将 保存 到 abe 文件 中 。 如 果 希 望 再 次 运行 iptables， 可 以 
使 用 以 下 命令 : 
# /etc/rc.d/init.d/iptables start 
上 述 命令 实际 上 是 清空 防火 墙 所 有 规则 后 , 再 按 /etc/sysconfig/iptables 文件 的 内 容 各 
设 定 防火 墙 规则 。 还 有 一 种 复原 防火 墙 规则 的 命令 如 下 : 
# iptables-restore < abc 
此 时 ， 由 iptables-save 命令 保存 在 abc 文件 中 的 规则 将 重新 载 入 到 防火 墙 中 。 如 果 使 
以 下 命令 ， 将 停止 iptables 的 运行 。 
# /etc/rc.d/init.d/iptables stop 
上 述 命 令 实际 上 是 清空 防火 墙 中 的 规则 , 与 “iptables -F” 命 令 类 似 。 此外, /etc/sysconfig 
目录 的 iptables-config 文件 是 iptables 防火 墙 的 配置 文件 ， 去 掉 注 释 后 的 初始 内 容 和 解释 如 
下 所 示 。 


二 


新 


sr 
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配置 1: 

IPTABLES MODULES="ip conntrack netbios ns ip conntrack ftp" 

功能 : 当 iptables 启动 时 , 载 入 ip_conntrack_netbios_ns 和 ip_conntrack ftp 两 个 iptables 
模块 。 

配置 2: 

IPTABLES MODULES UNLOAD="yes" 

功能 : 当 iptables 重启 或 停止 时 ， 是 否 卸 载 所 载 入 的 模块 ，yes 表示 是 。 

配置 3: 


IPTABLES_SAVE ON_STOP="no" 


功能 : 当 停 止 iptables 时 , 是 否 把 规则 和 和 链 保存 到 /etc/sysconfig/iptables 文件 , no 表示 否 。 

配置 4: 

IPTABLES SAVE ON RESTART="no" 

功能 : 当 重 启 iptables 时 , 是 否 把 规则 和 链 保存 到 /etc/sysconfig/iptables 文件 , no 表示 否 。 

配置 5: 

IPTABLES SAVE COUNTER="no" 

功能 : 当 保存 规则 和 链 时 ， 是 否 同 时 保存 计数 值 ，no 表示 否 。 

配置 6: 

IPTABLES STATUS NUMERIC="yes" 

功能 : 输出 iptables 状态 时 ， 是 否 以 数字 形式 输出 IP 地 址 和 端口 号 ，yes 表示 是 。 

配置 7: 

IPTABLES STATUS VERBOSE="no" 

功能 : 输出 iptables 状态 时 ， 是 否 包含 输入 输出 设备 ，no 表示 否 。 

配置 8: 

IPTABLES STATUS LINENUMBERS="yes" 

功能 : 输出 iptables 状态 时 ， 是 否 同时 输出 每 条 规则 的 匹配 数 ，yes 表示 是 。 
9.2.2 RHEL 6 开机 时 默认 的 防火 墙 规则 

在 Linux 系统 中 ， 可 以 通过 使 用 iptables 命令 构建 各 种 类 型 的 防火 墙 。 RHEL 6 操作 系 
统 默 认 安装 时 ，iptables 防火 墙 已 经 安装 ， 并 且 开 机 后 会 自动 添加 了 一 些 规则 ， 这 些 规则 实 
际 上 是 由 /etc/sysconfig 目录 中 的 iptables 文件 决定 的 。 可 以 通过 “iptables -L” 命 令 查看 这 
些 默 认 添 加 的 规则 。 


# iptables -L 


Chain INPUT (policy ACCEPT) #INPUT 链 中 的 规则 
target prot opt source destination 
RH-Firewal1-1-INPUT all -- anywhere anywhere # 规 则 1 


.154 。 
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Chain FORWARD (policy ACCEPT) # FORWARD 链 中 的 规则 

target prot opt source destination 
RH-Firewall-1-INPUT all -- anywhere anywhere # 规 则 2 
Chain OUTPUT (policy ACCEPT) # OUTPUT 链 中 的 规则 

target prot opt source destination 


Chain RH-Firewal1-1-INPUT (2 references) # 自 定义 的 RH-Firewall-1-INPUT 链 
中 的 规则 ， 被 其 他 链 引用 两 次 


target Prot opt source destination 

ACCEPT all -- anywhere anywhere # 规 则 3 
ACCEPT icmp -- anywhere anywhere icmp any # 规 则 4 
ACCEPT esp -- anywhere anywhere # 规 则 5 
ACCEPT ah -- anywhere anywhere # 规 则 6 
ACCEPT udp -- anywhere 224.0.0.251 udp dpt:mdns # 规 则 7 
ACCEPT udp -- anywhere anywhere udp dpt:ipp # 规 则 8 
ACCEPT tcp -- anywhere anywhere tcp dpt:ipp # 规 则 9 
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED # 规 则 10 

ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ftp # 规 则 11 

ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh  # 规 则 12 

ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:http # 规 则 13 
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:smtp # 规 则 14 
REJECT all -- anywhere anywhere reject-with icmp-host- 


prohibited # 规 则 15 
# 
由 于 上 面 的 iptables 命令 没有 用 -t 选 项 指明 哪 一 张 表 , 也 没有 指明 是 哪 一 条 链 ,因此 默 
认 列 出 的 是 filter 表 中 的 规则 链 。 由 以 上 结果 可 以 看 出 ，filter 表 中 总 共有 4 条 链 。 其 中 ， 
INPUT、FORWARD 和 OUTPUT 链 是 内 置 的 , 而 RH-Firewall-1-INPUT 链 是 用 户 自己 添加 的 。 


1. 规则 列 


在 前 面 列 出 的 防水 墙 规则 中 ， 每 一 条 规则 列 出 了 5 项 内 容 。target 列表 示 规 则 的 动作 
目标 。prot 列表 示 该 规则 指定 的 上 层 协 议 名 称 ，all 表示 所 有 的 协议 。opt 列 出 了 规则 的 一 
些 选 项 。source 列表 示 数 据 包 的 源 全 地 址 或 子 网 ， 而 destination 列表 示 数 据 包 的 目的 IP 
地 址 或 子 网 ，anywhere 表示 所 有 的 地 址 。 除 了 上 述 5 列 以 外 ， 如 果 存 在 ， 每 一 条 规则 的 最 
后 还 要 列 出 一 些 子 选项 ， 如 RH-Firewall-1-INPUT 链 中 的 规则 4 等 。 

如 果 执 行 iptables 命令 时 加 了 -v 选项 , 则 还 可 以 列 出 每 一 条 规则 当前 匹配 的 数据 包 数 、 
字 节 数 ， 以 及 要 求 数据 包 进 来 和 出 去 的 网 络 接口 。 如 果 加 上 -n 选项 ， 则 不 对 显示 结果 中 的 
IP 地 址 和 端口 做 名 称 解 析 ， 直 接 以 数字 的 形式 显示 。 另 外 ， 如 果 加 上 “--line-number” 选 
项 ， 可 以 在 第 一 列 显 示 每 条 规则 的 规则 号 。 

2. 规则 解释 

INPUT 链 中 的 规则 1 其 target 列 的 内 容 是 RH-Firewall-1-INPUT，opt 列 是 all，source 
和 destination 列 均 为 anywhere， 表 示 所 有 的 数据 包 都 交 给 自 定义 的 RH-Firewall-1-INPUT 
链 去 处 理 。FORWARD 链 的 规则 2 与 规则 1 完全 一 样 。OUTPUT 链 中 没有 规则 。 

在 自 定 义 的 RH-Firewall-1-INPUT 链 中 ， 列 出 了 很 多 的 规则 ， 规 则 3 表示 接收 所 有 的 
数据 包 。 需要 注意 的 是 ， 如 果 在 iptables 中 加 -v 选项 列 出 这 条 规则 时 , 将 会 看 到 in 列 是 lo， 


Se 
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即 要 求 数据 包 是 从 环 回 接口 中 进来 的 ， 而 不 是 任意 网 络 接口 进来 的 数据 包 都 接收 。 

规则 4 表示 所 有 icmp 数据 包 都 接收 。 即 其 他 计算 机 ping 本 机 时 ， 了 予以 接收 ， 而 且 在 
OUTPUT 链 中 没有 规则 。 因此 本 机 的 ICMP 回复 数据 包 也 能 顺利 地 进入 网 络 , 被 对 方 收 到 。 
规则 5 和 规则 6 表示 接收 所 有 的 esp 和 ah 协议 的 数据 包 ， 这 两 种 协议 属于 IPv6 协议 。 

规则 7 表示 目的 地 址 是 224.0.0.251， 目 的 端口 是 mdns 的 UDP 数据 包 人 允许 通过 。 
224.0.0.251 是 一 种 组 播 地 址 ，mdns 是 端口 号 的 一 种 名 称 。 如 果 执 行 iptables 命令 时 加 了 -n 
选项 ， 则 会 显示 数字 5353， 它 是 组 播 地 址 的 DNS 端口 。 

规则 8 和 规则 9 表示 允许 所 有 目的 端口 是 ipp 的 UDP 和 TCP 数据 包 通 过 。ipp 是 端口 
631 的 名 称 解 析 ， 它 是 用 于 网 络 打印 服务 的 端口 。 规 则 10 表示 所 有 状态 是 RELATED 和 
ESTABLISHED 的 数据 包 通 过 ，RELATED 状态 表示 数据 包 要 新 建 一 个 连接 ， 而 且 这 个 要 
新 建 的 连接 与 现存 的 连接 是 相关 的 ， 如 FTP 的 数据 连接 。ESTABLISHED 表示 本 机 与 对 方 
建立 连接 时 ， 对 方 回 应 的 数据 包 。 

规则 11 至 规则 14 表示 允许 目的 端口 是 fp、ssh、http 和 smtp， 状 态 是 NEW 的 TCP 
数据 包 通 过 , 状态 为 NEW 即 意味 着 这 个 TCP 数据 包 将 与 主机 发 起 一 个 TCP 连接 。 这 儿 条 
规则 的 端口 对 应 的 都 是 最 常见 的 网 络 服务 ， 它 们 的 端口 号 分 别 是 21、22、80 和 25。 最 后 
一 条 规则 15 表示 拒绝 所 有 的 数据 包 ， 并 向 对 方 回应 icmp-host-prohibited 数据 包 。 


3. 补充 解释 


需要 再 次 提醒 的 是 ， 这 些 规则 是 有 次 序 的 。 当 一 个 数据 包 进 入 RH-Firewall-1-INPUT 
链 后 , 将 依次 与 规则 3 至 规则 15 进行 比较 。 按 照 这 些 规 则 的 目标 设置 ,如 果 数 据 包 能 与 规 
则 3 至 14 中 的 任 一 条 匹配 ， 则 该 数据 包 将 被 接收 。 如 果 都 不 能 匹配 ， 则 肯定 能 和 规则 15 
匹配 ， 于 是 数据 包 被 拒绝 。 

由 于 RH-Firewall-1-INPUT 链 是 被 INPUT 链 调 用 的 ， 如 果 要 返回 到 INPUT 链 ， 需 要 
执行 名 为 RETURN 的 目标 动作 。 


全 说 明 : 在 FORWARD 链 中 也 调用 了 RH-Firewall-1-INPUT 链 ， 即 数据 包 如 果 不 是 发 送 给 
本 机 的 ， 当 经 过 FORWARD 链 时 ， 还 要 进入 RH-Firewall-1-INPUT 链 ， 与 规则 3 
到 规则 15 再 次 进行 匹配 。 


9.2.3 ”管理 主机 防火 墙 规则 


可 以 有 很 多 功能 种 类 的 防火 墙 。 有 些 是 安装 在 某 一 台 主 机 上 ， 主 要 用 于 保护 主机 本 身 
的 安全 ， 有 些 是 安装 在 网 络 中 的 某 一 节点 ， 专 门 用 于 保护 网 络 中 其 他 计算 机 的 安全 ， 也 有 
一 些 可 以 为 内 网 的 客户 机 提供 NAT 服务 ， 使 内 网 的 客户 机 共用 一 个 公 网 卫 ， 以 便 节 省 IP 
地 址 资源 。 下 面 首先 介绍 一 下 主机 防火 墙 的 应 用 示例 。 

当 一 台 服 务 器 为 外 界 提供 比较 重要 的 服务 ， 或 者 一 台 客 户 机 在 不 安全 的 网 络 环境 中 使 
时 ， 都 需要 在 计算 机 上 安装 防火 墙 ， 以 最 大 限度 地 防止 主机 受到 外 界 的 攻击 。9.2.2 节 介 
绍 的 开机 时 默认 的 防火 墙 设置 非常 典型 ， 用 户 可 以 根据 自己 主机 的 功能 关闭 已 经 开放 的 端 
口 ， 或 者 开放 更 多 的 端口 ， 以 便 允 许 符合 更 多 规则 的 数据 包 通 过 。 

例如 ， 为 了 使 主机 能 为 外 界 提供 telnet 服务 ， 除 了 配置 好 telnet 服务 器 外 ,还 需要 开放 
TCP23 号 端口 。 因 为 在 默认 的 防火 墙 配置 中 ， 并 不 允许 目的 端口 为 23 的 TCP 数据 包 进 入 
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a 


第 9 章 ”Linux 防火 墙 配置 


主机 。 为 了 开放 TCP23 号 端口 ， 可 以 有 两 种 办 法 ， 一 种 是 在 RH-Firewall-1-INPUT 链 中 加 
入 相应 的 规则 ， 还 有 一 种 是 把 规则 加 到 INPUT 链 中 。 但 需要 注意 的 是 ， 规 则 是 有 次 序 的 ， 
如 果 使 用 以 下 命令 ， 则 是 没有 效果 的 。 


# iptables -A RH-Firewall-1-INPUT -p tcp --dport 23 -j] ACCEPT 


述 命 令 执 行 后 ， 可 以 再 次 查看 规则 情况 。 
# a -L -n --line-number 


Chain RH-Firewall-l1-INPUT (2 references) 


num target Prot opt source destination 
11 ACCEPT tep ==— /000307X0 0.0.0.0/0 state NEW tcp dpt:80 
12 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:25 
13 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host- 
prohibited 
14 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:23 
# 新 添加 的 规则 


# 


可 以 看 到 ， 新 添加 的 规则 位 于 最 后 的 位 置 。 由 于 所 有 的 数据 包 都 可 以 与 目标 动作 为 
REJECT 的 规则 号 为 13 的 规则 匹配 ,而 REJECT 代表 的 是 拒绝 ,因此 数据 包 到 达 新 添加 的 
规则 前 肯定 已 被 丢弃 ， 这 条 规则 是 不 会 被 使 用 的 。 为 了 解决 这 个 问题 ， 需 要 把 上 述 规 则 插 
入 到 现 有 的 规则 中 ， 要 位 于 规则 13 的 前 面 。 下 面 是 正确 的 开放 TCP23 号 端口 的 命令 : 


# iptables -I RH-Firewall-1-INPUT 11 -p tcp --dport 23 -j ACCEPT 


以 上 命令 中 ,“-[T RH-Firewall-1-INPUT 11” 表 示 在 RH-Firewall-1-INPUT 链 原来 的 规则 
11 前 面 插 入 一 条 新 规则 ， 规 则 内 容 是 接受 目的 端口 为 23 的 TCP 数据 包 。 为 了 删除 前 面 添 
加 的 无 效 规则 ， 可 以 执行 以 下 命令 : 


# iptables -D RH-Firewall-1-INPUT 15 


15 是 第 一 次 添加 的 那 条 无 效 规则 此 时 的 规则 号 ， 也 可 能 是 其 他 的 数值 ， 可 根据 具体 显 
示 结 果 加 以 改变 。 如 果 希 望 新 加 的 规则 与 原来 的 规则 11、12 等 类 似 ， 可 以 执行 以 下 命令 : 

# iptables -I RH-Firewall-1-INPUT 11 -m state --state NEW -p tcp --dport 

23 -j ACCEPT 

以 上 是 在 RH-Firewall-1-INPUT 链 中 添加 规则 ， 以 开放 TCP23 号 端口 。 还 有 一 种 开放 
TCP23 号 端口 的 方法 是 在 INPUT 链 中 添加 规则 ， 有 具体 命令 如 下 所 示 。 

# iptables -I INPUT 1 -p tcp --dport 23 -j ACCEPT 


# iptables -L --line-number 
Chain INPUT (policy ACCEPT) 


num target prot opt source destination 
村 ACCEPT top >= anywhere anywhere tcp dpt:telnet 


2 RH-Firewall-1l-INPUT all -- anywhere anywhere 


全 注意 : 添加 的 规则 也 要 位 于 原来 规则 2 的 前 面 ， 否 则 ， 任 何 数据 包 都 匹配 规则 2， 将 会 
跳 到 RH-Firewall-1-INPUT 链 ， 并 且 不 再 回来 。 因 此 ， 添 加 在 规则 2 后 面 的 规则 
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前 面 介绍 的 是 在 RHEL.6 默认 防火 墙 规则 的 基础 上 添加 用 户 自己 的 防火 墙 规则 ， 以 开 
放 TCP23 号 端口 。 在 很 多 的 时 候 ， 用 户 可 能 希望 从 最 初 的 状态 开始 ， 构 建 自己 的 防火 墙 。 
为 了 从 零 开 始 设置 iptables 防火 墙 ， 可 以 用 以 下 命令 清空 防火 墙 中 所 有 的 规则 ; 


# iptables -了 


然后 再 根据 要 求 ， 添 加 自己 的 防火 墙 规则 。 一 般 情 况 下 ， 保 护 防火 墙 所 在 主机 的 规则 
都 添加 在 INPUT 内 置 链 中 ,以 挡住 外 界 访问 本 机 的 部 分 数据 包 。 本 机 向 外 发 送 的 数据 包 只 
经 过 OUTPUT 链 ,， 一 般 不 予 限制 。 如 果 不 希 望 本 机 为 外 界 数 据 包 提供 路 由 转发 功能 ， 可 以 
在 FORWARD 链 中 添加 一 条 拒绝 一 切 数据 包 通 过 的 规则 , 或 者 干脆 在 内 核 中 设置 不 转发 任 
何 数据 包 。 


9.2.4 ”常用 的 主机 防火 墙 规则 


当 设 置 主机 防火 墙 时 ， 一 般 采 取 先 放行 ， 最 后 全 部 禁止 的 方法 。 也 就 是 说 ， 根 据 主 机 
的 特点 ， 规 划 出 允许 进入 主机 的 外 界 数据 包 ， 然 后 设计 规则 放行 这 些 数据 包 。 如 果 某 一 数 
据 包 与 放行 数据 包 的 规则 都 不 匹配 , 则 与 最 后 一 条 禁止 访问 的 规则 匹配 , 被 拒绝 进入 主机 。 
下 面 列 出 一 些 主机 防火 墙 中 常用 的 iptables 命 令 及 其 解释 ,这 些 命令 添加 的 规则 都 放 在 filter 
表 的 INPUT 链 中 。 

示例 1: 


iptables -A INPUT -p tcp --dport 80 -j ACCEPT 


功能 : 允许 目的 端口 为 80 的 TCP 数据 包 通 过 INPUT 链 。 

说 明 : 这 种 数据 包 一 般 是 用 来 访问 主机 的 Web 服务 , 如 果 主 机 以 默认 的 端口 提供 Web 
服务 ， 应 该 用 这 条 规则 开放 TCP80 端口 。 

示例 2: 

iptables -A INPUT -s 192.168.1.0/24 -i eth0 -j DROP 


功能 :从 接口 eth0 进来 的 、 源 人 * 地 址 的 前 3 字 节 为 192.168.1 的 数据 包 予 以 丢弃 。 

说 明 : 需要 注意 这 条 规则 的 位 置 , 如 果 匹 配 这 条 规则 的 数据 包 同 时 也 匹配 前 面 的 规则 ， 
而 且 前 面 的 规则 是 放行 的 ， 则 这 条 规则 对 匹配 的 数据 包 将 不 起 作用 。 

示例 3: 

iptables -A INPUT -p udp --sport 53 --dport 1024:65535 -]j ACCEPT 

功能 : 在 INPUT 链 中 允许 源 端 口号 为 S3， 目 标 端口 号 为 1024 至 65535 的 UDP 数据 

说 明 : 这 种 特点 的 数据 包 是 当 本 机 查询 DNS 时 ，DNS 服务 器 回复 的 数据 包 。 

示例 4: 

iptables -A INPUT -P tcp --tcp-flags SYN,RST,ACK SYN -j ACCEPT 

功能 : SYN、RST、ACK 3 个 标志 位 中 SYN 位 为 1， 其 余 两 个 为 0 的 TCP 数据 包 了 予 
以 放行 。 符 合 这 种 特征 的 数据 包 是 发 起 TCP 连接 的 数据 包 。 
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说 明 :“--tcp-flags” 子 选项 用 于 指定 TCP 数据 包 的 标志 位 ， 可 以 有 SYN、ACK、FIN、 
RST、URG 和 PSH 共 6 种 。 当 这 些 标志 位 作为 “--tcp-flags” 的 参数 时 ， 用 空格 分 成 两 部 
分 。 前 一 部 分 列 出 有 要 求 的 标志 位 ， 用 “,” 分 隔 ; 后 一 部 分 列 出 要 求 值 为 1 的 标志 位 ， 如 
果 有 多 个 ， 也 用 “,” 分 隔 ， 未 在 后 一 部 分 列 出 的 标志 位 其 值 要 求 为 0。 


全 注意 : 这 条 命令 因为 经 常 使 用 可 以 用 “--syn” 代替“--tcp-flags SYN,RST,ACK SYN”。 


示例 5: 
iptables -A INPUT -p tcp -m multiport --dport 20:23,53,80,110 -j ACCEPT 


功能 :接收 目的 端口 为 20 至 23、53、80 和 110 号 的 TCP 数据 包 。 
说 明 :“-m multiport” 用 于 指定 多 个 端口 ， 最 多 可 以 有 15 项 ， 用 “,” 分 隔 。 
示例 6: 


iptables -A INPUT -p icmp -m limit --limit 6/m --limit-burst 8 -j ACCEPT 


功能 :限制 ICMP 数据 包 的 通过 率 ， 当 一 分 钟 内 通过 的 数据 包 达 到 8 个 时 ， 触 发 每 分 
钟 通过 6 个 数据 包 的 限制 条 件 。 

说 明 : 以 上 命令 中 ， 除 了 m 表示 分 以 外 ， 还 可 以 用 s( 秒 )、h (小 时 ) 和 d (天 )。 这 
个 规则 主要 用 于 防止 DogS 攻击 。 

示例 7: 


iptables -A INPUT -p udp -m mac --mac-source ! 00:0C:6E:AB:AB:CC -j DROP 


功能 : 拒绝 源 MAC 地 址 不 是 00:0C:6E:AB:AB:CC 的 UDP 数据 包 。 
说 明 ， 该 规则 不 应 该 放 在 前 面 ， 否 则 ， 大 部 分 的 UDP 数据 包 都 将 被 拒绝 ， 随 后 的 规 
则 将 不 会 使 用 。 


9.2.5 使 用 图 形 界面 管理 主机 防火 墙 规则 


为 了 使 初学 者 也 能 构建 iptables 主机 防火 墙 , 在 RHEL 6 中 , 还 为 用 户 提供 了 配置 主机 
防火 墙 的 图 形 界 面 。 在 RHEL 6 桌面 环境 下 ， 选 择 “ 系 统 ”|“ 管 理 ” |“ 防 火 墙 ”命令 后 ， 
将 出 现 图 9-4 所 示 的 对 话 框 。 

在 图 9-4 中 ， 名 为 “可 信 的 服务 ”的 列表 框 中 列 出 了 常见 的 网 络 服务 名 称 ， 前 面 打 勾 
的 服务 所 对 应 的 网 络 端口 是 开放 的 , 允许 外 界 的 用 户 访问 。 如 果 用 户 需 要 开放 更 多 的 端口 ， 
可 以 在 列 出 的 服务 名 称 前 的 框 内 单 击 鼠 标 ， 打 上 勾 后 再 单 击 “ 应 用 ”按钮 即 可 。 

此 外 ， 窗 口中 还 提供 了 启用 或 禁用 防水 墙 的 选择 菜单 ， 如 图 9-5 所 示 。 另 外 ， 如 果 在 
图 9-4 中 单 击 了 “其 它 端 口 ” 标签， 将 出 现 如 图 9-5 所 示 的 一 个 列表 框 和 “添加 入 “删除 
按钮 ， 用 于 添加 和 删除 “信任 的 服务 ”列表 框 中 未 列 出 的 端口 。 

在 图 9-5 中 ， 如 果 单 击 “ 添 加 ”按钮 ， 将 出 现 图 9-6 所 示 的 对 话 框 。 此 时 ， 可 以 输入 
需要 开放 的 端口 号 ， 并 选择 TCP 或 UDP 协议 ， 然 后 单 击 “ 确 定 ” 按 钮 ， 将 返回 到 图 9-5 
所 示 的 防火 墙 设置 对 话 框 ， 在 “其 它 端 口 ”列表 框 中 将 出 现 所 添加 的 端口 号 和 协议 名 称 。 
单 击 “ 删 除 ”按钮 可 以 删除 列表 框 中 选中 的 端口 。 为 了 使 添加 或 删除 端口 生效 ， 需 要 单 击 
图 9-5 中 的 “应 用 ”按钮 ， 此 时 将 出 现 图 9-7 所 示 的 对 话 框 ， 要 求 用 户 确认 该 操作 。 


ED 
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防火 培 配 置 
文件 (FE) 选项 (Q) ”帮助 (H) 


[3 E © 
向 导 重新 载 入 蔚 用 
| 在 这 里 总 可 以 定义 哪些 服务 是 可 信 的 ， 可 信 的 服务 可 以 被 任意 主机 或 者 网 络 
其 它 端 口 
四 wa 服务 - 和 口 协议 Conntrack 帮助 程序 
催生 (Masquerading) | | 口 Amanda 音 份 窑 户 淇 。 10080/udp amanda 
端口 转发 口 Bacula 9101/tcp, 9102/tcp, 9103/tcp 
ICMP 过 滤器 口 Bacula 客户 并 9102/tcp 
定制 规则 OD DNS Sa/tcp, 53udp 
口 FTP 2l/tcp ftp 
IPsec /ah /esp, 500/udp 
口 NFS4 2049/tcp 
OpenvpN 1194/udp 
OD RADIUS 1812/udp, 1813/udp 
口 Smba Ee 445/tcp, 137/udp, 138/ netbios_ns 
了 Samba 客户 端 137/udp, 138/udp netbios_ns 
回 SSH 22/tcp ce 
启 人 Ai 必要 9 服务 访问 * 
Le 


图 9-4 防火 墙 设置 对 话 框 


增 配 置 


文件 (E) ”选项 (Q) 帮助 (H) 


认 好 
向 导 重新 载 入 杏 用 
可 信 的 服务 语 加 可 让 所 有 主机 或 者 网 络 访问 8 加 喘 口 或 者 端口 苍 困 。 
襄 人 接口 端口 < 协议 ”服务 添加 (A) 
伪 糯 (Masquerading) 
端口 转发 
ICMP 过 滤器 
定制 规则 


和 人 让 许 访问 各 必要 的 端口 或 庙 口 


图 9-5 展开 后 的 防火 墙 设置 对 话 框 


请 从 列 蛮 中 选择 一 个 条 目 或 者 在 下 拉 条 中 辆 入 端 
口 和 协议 。 


目 


system-config-firewall 


点 击 “确定 ”按钮 会 要 差 现 有 的 防火 墙 配置。 您 确定 要 这 样 做 吗 ? 
A 请 记得 检查 是 否 启用 了 iptables 和 ip6tables 服务 。 


网 用 户 定义 的 


协议 : tcp 人 
[me 二 (N) 是 Y) | 
图 9-6 添加 端口 图 9-7 确认 修改 防火 墙 设置 
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以 上 是 通过 图 形 界面 管理 主机 防火 墙 规则 ， 实 际 的 结果 和 命令 方式 是 一 样 的 。 例 如 ， 
如 果 在 图 9-6 所 示 的 窗口 中 输入 8080 端口 并 选择 TCP 协议 ， 再 到 终端 查看 防火 墙 中 的 规 
则 时 ， 将 会 发 现 如 下 结果 : 

[root@localhost sysconfig]# iptables -LI --line-number 


11 ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:http 


12 ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:smtp 

13 ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:webcache 
14 REJECT all -- anywhere anywhere reject-with icmp-host- 
prohibited 

# 


从 以 上 结果 可 以 看 出 ， 与 初始 的 设置 相 比 ， 规 则 13 原来 是 没有 的 ， 它 是 刚才 通过 图 
形 界面 操作 后 添加 的 。 也 就 是 说 ， 刚 才 的 图 形 界 面 操作 相当 于 输入 了 以 下 命令 : 
iptables -I RH-Firewall-l1-INPUT 13 -m state --state NEW -m tcp -p tcp --dport 
8080 -j ACCEPT 
外 说 明 : 实际 上 ，RHEL.6 提供 的 防火 墙 图 形 界面 管理 功能 非常 有 限 ， 远 不 如 命令 方式 功 


能 丰富 。 


9.3 ”iptables 网 络 防火 墙 配置 


与 主机 防火 墙 不 一 样 ， 网 络 防火 墙 主要 用 于 保护 内 部 网 络 的 安全 。 此 时 ， 一 般 由 一 台 
专门 的 主机 承担 防火 墙角 色 ， 有 时 还 要 承担 网 络 地 址 转换 (NAT) 的 功能 ， 其 配置 要 比 主 
机 防火 墙 复杂 。 本 节 主 要 讲述 有 关 网 络 防火 墙 的 过 滤 配 置 ， 以 及 通过 给 数据 包 做 标志 的 方 
法 进行 策略 路 由 的 例子 。 

9.3.1 保护 服务 器 子 网 的 防火 墙 规则 

与 主机 防火 墙 不 一 样 ， 保 护 网 络 的 防火 墙 一般 有 多 个 网 络 接口 。 而 且 绝 大 部 分 的 规则 
应 该 添加 在 filter 表 的 FORWARD 链 中 ， 其 配置 要 比 主机 防火 墙 复杂 得 多 。 为 了 使 iptables 
承担 网 络 防火 墙 的 角色 ， 首 先 要 确保 Linux 能 够 在 各 个 网 络 接口 之 间 转 发 数据 包 ， 其 方法 
是 输入 以 下 命令 ， 使 ip_forward 文件 的 内 容 为 1。 

echo "1">/proc/sys/net/ipv4/ip_ forward 

上 述 命令 的 结果 在 系统 重启 后 会 失效 ,为 了 使 系统 在 每 次 开机 后 能 自动 激活 IP 数据 包 
转发 功能 ， 需 要 编辑 配置 文件 /etc/sysctl.conf。 它 是 RHEL 6 的 内 核 参数 配置 文件 ， 其 中 包 
含 了 ip_forward 参数 的 配置 。 具 体 方法 是 确保 在 /etc/sysctl.conf 文件 中 有 以 下 一 行 代 码 : 

net.ipv4.ip forward = 1 

即 原来 的 值 如 果 是 0 的 ， 现 把 它 改 为 1。 然后 执行 以 下 命令 使 之 生效 : 

Wetl pp 


上 述 命令 的 功能 是 实时 修改 内 核 运行 时 的 参数 。IP 数据 包 转 发 功能 激活 后 ， 就 可 以 设 


se 
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置 网 络 防火 墙 规则 了 。 下面 以 图 9-8 所 示 的 网 络 结构 为 例 , 介绍 iptables 网 络 防火 墙 的 配置 

在 图 9-8 中 ， 安 装 了 iptables 的 Linux 主机 安装 了 3 块 网 卡 。 其 中 ，eth0 的 卫 地址 是 
192.168.0.1， 它 通过 一 台 网 关 设 备 与 Internet 连接 ; ethl 的 IP 地 址 是 10.10.1.1， 它 与 子 网 
10.10.1.0/24 连接 ，eth2 的 IP 地 址 是 10.10.2.1， 它 连接 的 子 网 是 10.10.2.0/24。 


子 网 10.10.1.0/24 


| 路 Linux 主 术 
10.10.1.1 192.168.0.1 
ethl eth0 出 口 网 关 
eth2 
10.10.2.1 


10.102.0/24 
图 9-8 用 于 网 络 防火 墙 配置 的 例子 网 络 


现 假设 10.10.1.0/24 子 网 里 运行 的 是 为 外 界 提供 网 络 服务 的 服务 器 ,而 10.10.2.0/24 子 
网 里 的 计算 机 是 用 户 上 网 用 的 客户 机 。 对 于 服务 器 来 说 ， 它 向 外 提供 服务 的 端口 号 是 固定 
的 ， 为 了 保证 其 安全 ， 应 该 只 开放 这 些 端 口 ， 即 只 允许 目的 端口 是 这 些 端口 的 数据 包 进 入 
服务 器 子 网 ， 其 余 的 数据 包 一 律 禁 止 。 下 面 是 一 些 在 防火 墙 上 执行 的 保护 服务 器 子 网 的 
iptables 命令 。 


iptables -A FORWARD -p tcp --dport 22 -i eth0 -o ethl -]j ACCEPT 

iptables -A FORWARD -p tcp --dport 25 -i eth0 -o ethl -]j ACCEPT 

iptables -A FORWARD -p udp --dport 53 -i eth0 -oo ethl -j ACCEPT 

iptables -A FORWARD -p tcp --dport 80 -i eth0 -o ethl -j] ACCEPT 

假设 服务 器 子 网 采用 默认 端口 为 外 界 提供 了 SSH、SMTP、DNS 和 HTTP 服务 。 以 上 
4 条 命令 在 filter 表 的 FORWARD 链 中 加 入 了 4 条 规则 ， 人 允许 从 eth0 网 进入 到 ethl 网 卡 ， 
并 且 协 议和 目的 端口 分 别 是 TCP22、TCP25、UDP53 和 TCP80 的 数据 包 通过 这 些 协 议和 端 
口 对 应 了 该 子 网 提供 的 网 络 服务 。 

以 上 4 条 命令 确定 了 从 eth0 到 ethl 转发 数据 包 的 规则 。 这 些 数 据 包 是 进入 服务 器 子 网 
的 数据 包 ，, 而 从 服务 器 子 网 出 去 的 数据 包 目 前 还 是 畅通 无 阻 的 ， 因为 FORWARD 链 中 还 没 
有 规则 对 ethl 到 eth0 的 数据 包 做 任何 限制 。 

需要 注意 的 是 ， 前 面 的 规则 规定 了 放行 哪些 数据 包 后 ， 最 后 必须 要 有 一 条 规则 拒绝 所 
有 的 数据 包 。 否则 ， 即 使 数据 包 与 前 面 所 有 的 规则 都 不 匹配 ， 最 后 也 照样 能 被 转发 。 因 此 ， 
为 了 达到 保护 服务 器 子 网 的 目的 ， 还 需要 执行 以 下 命令 : 


iptables -A FORWARD -i eth0 -o ethl -j DROP 


以 上 命令 把 从 网 卡 eth0 到 ethl 的 数据 包 全 部 丢弃 ， 当然, 这些 数据 包 是 那些 与 前 面 的 
规则 都 不 匹配 的 数据 包 。 此 外 , 也 可 以 用 以 下 命令 指定 FORWARD 链 的 默认 目标 动作 来 代 


"i . 
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蔡 上 述 命令 。 
iptables -P FORWARD DROP 


上 面 命令 的 意思 是 与 所 有 规则 都 不 匹配 的 数据 包 将 采用 DROP 目标 动作 予以 丢弃 ,对 
于 只 保护 服务 器 子 网 的 防火 墙 来 说 可 以 这 样 做 。 


名 注意: 由 于 图 9-8 的 网 络 结构 中 还 要 为 10.10.2.0/24 子 网 的 客户 机 提供 上 网 服务 。 如 果 
设 定 默认 目标 动作 为 DROP， 需 要 添加 明确 的 规则 放行 该 子 网 的 数据 包 。 


另外 ， 如 果 发 现 某 些 计 算 机 ， 如 IP 为 11.22.33.44 的 计算 机 对 服务 器 子 网 有 攻击 行为 ， 
防火 墙 可 以 不 转发 这 些 数据 ， 把 它 阻挡 在 防火 墙 的 外 面 ， 命 令 如 下 : 


iptables -A FORWARD -i eth0 -o ethl -s 11.22.33.44 -]j DROP 


或 者 如 果 发 现 服务 器 子 网 发 往 某 一 台 主 机 ， 如 55.66.77.88 的 数据 流量 特别 大 ， 出 现 了 
异常 情况 ， 可 以 执行 以 下 命令 ， 限 制 其 流量 。 此 时 ， 数 据 流向 应 该 是 从 ethl 到 eth0。 

iptables -A FORWARD -i ethl -o eth0 -d 55.66.77.88 -m limit --limit 60/m 

--limit-burst 80 -j ACCEPT 

网 卡 eth0 收 到 的 是 来 自 Internet 的 数据 包 ， 因 此 对 它们 做 了 严格 的 限制 。 但 对 于 来 自 
10.10.2.0/24 子 网 的 数据 包 来 说 ， 其 限制 应 该 相对 宽松 ， 因 为 它 是 内 网 。 下 面 是 儿 条 有 关内 
网 到 服务 器 子 网 的 转发 规则 的 设置 命令 。 

iptables -A FORWARD -i eth2 -o ethl -m multiport --dport 1:1024,2049,32768 

-j ACCEPT 

iptables -A FORWARD -i eth2 -o ethl -s 10.10.2.2 -j ACCEPT 

iptables -A FORWARD -i eth2 -o ethl -s 10.10.2.3 -j ACCEPT 

上 面 的 第 一 条 命令 允许 来 自 eth2 网 卡 的 数据 包 转 发 到 服务 器 子 网 ethl 网 卡 , 前 提 是 数 
据 包 的 目的 端口 号 是 1 至 1024、2049 或 者 32768。1 至 1024 包含 了 大 部 分 网 络 服务 默认 使 
用 的 端口 ，2049 和 32768 是 NFS 服务 器 工作 时 需要 开放 的 端口 。 第 二 条 和 第 三 条 命令 允 
许 源 亿 地 址 是 10.10.2.2 或 10.10.2.3 数据 包 通 过 ， 这 两 台 计算 机 可 能 是 由 管理 员 使 用 的 。 

也 有 一 些 服 务 要 使 用 1024 号 以 上 的 端口 ， 可 以 采用 类 似 的 命令 加 入 规则 ， 以 开放 这 
些 端口 。 最 后 ， 如 果 不 是 采用 -P 选项 指定 默认 的 DROP 策略 ， 还 需要 在 FORWARD 链 中 
加 入 以 下 命令 ， 以 拒绝 所 有 不 匹配 的 数据 包 。 


iptables -A FORWARD -i eth2 -o ethl -]j DROP 


上 面 的 这 条 命令 也 可 以 和 前 面 的 “iptables -AFORWARD -ieth0 -o ethl -j DROP” 命 令 
合并 在 一 起 ， 成 为 以 下 命令 : 


iptables -A FORWARD -o ethl -]j DROP 


显然 ， 上 面 这 条 命令 指定 的 规则 应 该 放 在 最 后 的 位 置 。 另 外 ， 每 一 台 主 机 还 可 以 根据 
自己 的 特点 设置 自己 的 主机 防火 墙 ， 以 提供 更 多 的 保护 。 


9.3.2 ”保护 内 部 客户 机 的 防火 墙 规则 
9.3.1 节 介绍 的 是 针对 服务 器 子 网 的 防火 墙 配置 ， 侧 重点 是 如 何 对 其 进行 保护 。 因 此 ， 


ss 
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规则 排列 的 特点 是 先 放行 指定 的 数据 包 ， 再 拒绝 所 有 的 数据 包 。 但 对 于 图 9-8 中 的 子 网 
10.10.2.0/24 来 说 ,配置 的 原则 应 该 是 不 一 样 的 。 因 为 这 个 子 网 中 的 计算 机 是 用 户 上 网 的 计 
算 机 ， 为 了 给 用 户 提供 尽量 多 的 上 网 功能 ， 应 该 放行 所 有 的 数据 包 ， 但 事先 要 对 部 分 有 问 
题 的 数据 包 进行 拒绝 。 

要 限制 的 数据 包 分 为 两 类 。 一 类 是 限制 用 户 对 Intemet 上 某 些 内 容 的 访问 ， 还 有 一 类 
是 不 允许 Internet 上 的 某 些 内 容 进入 该 子 网 。 前 者 的 数据 包 是 从 网 卡 eth2 到 eth0， 而 后 者 
应 该 是 从 eth0 到 eth2。 例 如 ， 如 果 不 希 望 内 网 的 计算 机 使 用 QQ， 可 以 使 用 以 下 命令 进行 
限制 。 


iptables -A FORWARD -p UDP --dport 8000 -i eth2 -o eth0 -]j DROP 


名 说明: UDP 协议 8000 号 端口 是 QQ 客户 端 登录 服务 器 时 使 用 的 目的 端口 ， 该 命令 限制 
内 网 的 计算 机 向 外 发 送 目 的 端口 是 8000 的 数据 包 。 


下 面 的 这 条 命令 与 上 面 命令 功能 相同 ， 但 它 限制 的 是 进来 的 数据 包 ， 客 户 端 发 起 登录 
请 求 的 数据 包 还 是 能 通过 的 ， 效 果 不 如 上 面 那 条 命令 好 。 


iptables -A FORWARD -p UDP --sport 8000 -i eth0 -o eth2 -j DROP 


但 实际 上 ， 目 前 QQ 也 可 以 通过 TCP 协议 的 80 和 443 端口 进行 登录 ， 而 这 两 个 端口 
是 不 能 封 的 。 和 否则 ， 用 户 的 浏览 器 将 不 能 访问 网 站 。 因 此 ， 比 较 可 靠 的 方法 是 封锁 访问 QQ 
服务 器 卫 地 址 的 数据 包 ， 有 具体 命令 如 下 : 


iptables -A FORWARD -p tcp -d 60.191.124.236 -i eth2 -o eth0 -j DROP 
iptables -A FORWARD -p tcp -d 58.60.15.38 -i eth2 -o eth0 -]j DROP 


60.191.124.236 和 58.60.15.38 等 了 了 地 址 是 QQ 服务 器 的 地 址 ， 有 几 十 个 P， 而 且 是 动 
态 变化 的 ， 需 要 即时 搜集 更 新 。 此 外 ， 如 果 有 些 网 站 或 者 其 他 服务 器 也 不 允许 内 网 的 用 户 
访问 , 可 以 查 出 其 了 P 地 址 后 , 使 用 类 似 的 命令 进行 限制 。 有 些 计 算 机 病毒 或 木马 程序 要 使 
用 固定 的 端口 进行 传播 或 通信 ， 为 了 保护 内 网 不 受 这 些 程序 的 影响 ， 需 要 把 这 部 分 端口 封 
掉 ， 例 子 命令 如 下 所 示 。 

iptables -A FORWARD -i eth0 -o eth2 -m multiport --dport 135:139, 445, 593,5554 

-j DROP 

135 至 139 是 Windows 网 络 共享 使 用 的 端口 号 。 为 了 防止 内 网 数据 可 能 会 泄露 ， 一 般 
要 封 掉 该 端口 ， 使 内 网 和 Internet 之 间 不 能 进行 Windows 网 络 共享 。 其 他 几 个 端口 都 是 病 
毒 或 木马 程序 端口 , 如 果 有 最 新 的 病毒 或 木马 使 用 其 他 端口 , 应 该 在 上 述 命令 中 添加 进去 。 

有 些 蠕虫 病毒 发 作 时 会 产生 大 量 的 ICMP 数据 包 , 可 以 设置 拒绝 ICMP 数据 包 的 规则 。 
但 由 于 ping 命令 也 是 使 用 ICMP 数据 包工 作 的 ， 如 果 设 置 拒 绝 转发 ICMP 数据 包 ， 内 网 将 
不 能 ping 外 网 的 任何 主机 ， 会 给 网 络 维护 带 来 不 便 。 因 此 比较 好 的 办 法 是 限制 ICMP 数据 
包 的 注 量 ， 命 令 如 下 所 示 。 


iptables -A FORWARD -P icmp -m limit --1Limit 50/m --limit-burst 60 -j ACCEPT 


前 面 的 规则 限制 了 10.10.2.0/24 子 网 与 Internet 之 间 的 部 分 数据 包 , 管理 员 可 以 根据 具 
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体 情况 随时 添加 更 多 的 规则 或 删除 、 修 改 部 分 规则 。 最 后 ， 还 应 该 添加 使 所 有 数据 包 都 能 
通过 的 规则 ， 具 体 命令 如 下 所 示 。 

iptables -A FORWARD -i eth2 -o eth0 -]j ACCEPT 

iptables -A FORWARD -i eth0 -o eth2 -]j ACCEPT 

由 于 还 有 一 个 与 服务 器 相连 的 ethl 网 卡 ， 它 默认 时 是 不 允许 数据 包 通 过 的 ， 因此 上 述 
命令 要 指明 是 在 eth2 和 eth0 网 卡 之 间 可 以 通过 所 有 的 数据 包 。 


9.3.3 mangle 表 应 用 举例 


前 面 介绍 的 防火 墙 规则 其 所 在 的 规则 链 都 位 于 filter 表 ， 下 面 再 看 一 个 有 关 mangle 表 
的 使 用 例子 。mangle 表 的 主要 功能 是 根据 规则 修改 数据 包 的 一 些 标志 位 ， 以 便 其 他 规则 或 
程序 可 以 利用 这 种 标志 对 数据 包 进 行 过 滤 或 策略 路 由 。 

如 图 9-9 所 示 的 是 一 种 典型 的 网 络 结构 。 内 网 的 客户 机 通过 Linux 主机 连 入 Internet， 
而 Linux 主机 与 Internet 连接 时 有 两 条 线路 ， 它 们 的 网 关 如 图 所 示 。 现 要 求 对 内 网 进行 策 
略 路 由 ， 所 有 通过 TCP 协议 访问 80 端口 的 数据 包 都 从 ChinaNet 线路 出 去 ， 而 所 有 访问 
UDP 协议 53 号 端口 的 数据 包 都 从 Cemet 线路 出 去 。 


10.10.1.1 


ChinaNet 
ethl oe 
eth0 


内 网 Linux 主 机 Internet 


eth2 本 
10.10.2.1 
图 9-9 利用 mangle 表 进 行 策略 路 由 的 例子 网 络 结构 

这 是 一 个 策略 路 由 的 问题 。 为 了 达到 目的 ， 在 对 数据 包 进 行路 由 前 ， 要 先 根据 数据 包 
的 协议 和 目的 端口 给 数据 包 做 上 一 种 标志 ， 然 后 再 指定 相应 规则 ， 根 据 数据 包 的 标志 进行 
策略 路 由 。 为 了 给 特定 的 数据 包 做 上 标志 ， 需 要 使 用 mangle 表 ，mangle 表 共 有 5 条 链 ， 
由 于 需要 在 路 由 选择 前 做 标志 ， 因 此 应 该 使 用 PREROUTING 链 ， 下 面 是 具体 的 命令 。 

iptables -t mangle -A PREROUTING -i eth0 -p tcp --dport 80 -j] MARK --set--mark 

二 


iptables -t mangle -A PREROUTING -i eth0 -P udp --dprot 53 -] MARK --set- 

mark 2 

以 上 命令 在 mangle 表 的 PREROUTING 链 中 添加 规则 ， 为 来 自 eth0 接口 的 数据 包 做 
标志 ， 其 匹配 规则 分 别 是 TCP 协议 、 目 的 端口 号 是 80 和 UDP 协议 、 目 的 端口 号 是 53， 
标志 的 值 分 别 是 1 和 2。 数 据 包 经 过 PREROUTING 链 后 ， 将 要 进入 路 由 选择 模块 ， 为 了 
对 其 进行 策略 路 由 ， 执 行 以 下 两 条 命令 ， 添 加 相应 的 规则 。 


ip rule add from all fwmark 1 table 10 
ip rule add from all fwmark 2 table 20 


以 上 两 条 命令 表示 所 有 标志 是 1 的 数据 包 使 用 路 由 表 10 进行 路 由 ， 而 所 有 标志 是 2 


= 
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的 数据 包 使 用 路 由 表 20 进行 路 由 。 路 由 表 10 和 20 分 别 使 用 了 ChinaNet 和 Cernet 线路 上 
的 网 关 作为 默认 网 关 ， 具 体 设置 命令 如 下 所 示 。 

ip route add default via 10.10.1.1 dev ethl table 10 

ip route add default via 10.10.2.1 dev eth2 table 20 

以 上 两 条 命令 在 路 由 表 10 和 20 上 分 别 指定 了 10.10.1.1 和 10.10.2.1 作为 默认 网 关 ， 
它们 分 别 位 于 ChinaNet 和 Cernet 线路 上 。 于 是 ， 使 用 路 由 表 10 的 数据 包 将 通过 ChinaNet 
线路 出 去 ， 而 使 用 路 由 表 20 的 数据 包 将 通过 Cemet 线路 出 去 。 

上 面 介绍 了 有 关 mangle 表 在 策略 路 由 上 的 应 用 ， 有 关 策 略 路 由 的 具体 内 容 ， 可 参见 
83: 节 。 


9.4 iptables 防火 墙 的 NAT 配置 


NAT (Network Address Translation， 网 络 地 址 转换 ) 是 一 项 非常 重要 的 Internet 技术 。 
它 可 以 让 内 网 众多 的 计算 机 访问 Internet 时 ， 共 用 一 个 公 网 地 址 ， 从 而 解决 了 Internet 地 址 
不 足 的 问题 ， 并 对 公 网 隐藏 了 内 网 的 计算 机 ， 提 高 了 安全 性 能 。 本 节 主 要 介绍 利用 iptables 
防火 墙 实现 NAT 的 方法 。 


9.4.1 NAT 简介 


NAT 并 不 是 一 种 网 络 协议 ， 而 是 一 种 过 程 。 它 将 一 组 IP 地 址 映射 到 另 一 组 卫 地 址 ， 
而 且 对 用 户 来 说 是 透明 的 .NAT 通常 用 于 将 内 部 私有 的 IP 地 址 翻译 成 合法 的 公 网 卫 地 址 ， 
从 而 可 以 使 内 网 中 的 计算 机 共享 公 网 IP, 节省 了 1IP 地 址 资源 。 可 以 这 样 说 , 正 是 由 于 NAT 
技术 的 出 现 ， 才 使 得 IPv4 的 地 址 至 今 还 足够 使 用 。 因 此 ， 在 IPv6 广泛 使 用 前 ，NAT 技术 
仍然 还 会 广泛 地 应 用 。 

1. NAT 的 工作 原理 


NAT 的 工作 原理 如 图 9-10 所 示 。 


10.10.1.10 


1010.1.1| NAT |218.75.2635 


eth1 服务 器 


子 网 10.10.1.0/24 
图 9-10 NAT 服务 器 工作 原理 图 


内 网 中 卫 为 10.10.1.10 的 计算 机 发 送 的 数据 包 其 源 IP 地 址 是 10.10.1.10， 但 这 个 地 址 
是 Internet 的 保留 地 址 ， 不 允许 在 Internet 上 使 用 ，Internet 上 的 路 由 器 是 不 会 转发 这 样 的 
数据 包 的 。 为 了 使 这 个 数据 包 能 在 Intemet 上 传输 ， 需 要 把 源 IP 地 址 10.10.1.10 转换 成 一 
个 能 在 Intemet 上 使 用 的 合法 卫 地址， 如 218.75.26.35， 才 能 顺利 地 到 达 目 的 地 。 


。166 。 
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这 种 IP 地 址 转换 的 任务 由 NAT 服务 器 完成 , 运行 NAT 服务 的 主机 一 般 位 于 内 网 的 出 
口 处 ， 至 少 需要 有 两 个 网 络 接口 。 一 个 设置 为 内 网 卫 ， 另 一 个 设置 为 外 网 合法 IP。NAT 
服务 器 改变 出 去 的 数据 包 的 源 卫 地 址 后 ， 需 要 在 内 部 保存 的 NAT 地 址 映射 表 中 登记 相应 
的 条 目 ， 以 便 回 复 的 数据 包 能 返回 给 正确 的 内 网 计算 机 。 

当然 ， 从 Internet 回复 的 数据 包 也 并 不 是 直接 发 送 给 内 网 的 ， 而 是 发 给 了 NAT 服务 器 
中 具有 合法 卫 地 址 的 那个 网 络 接口 。NAT 服务 器 收 到 回复 的 数据 包 后 ， 根 据 内 部 保存 的 
NAT 地 址 映射 表 ， 找 到 该 数据 包 是 属于 哪个 内 网 IP 的 ， 然 后 再 把 数据 包 的 目的 卫 转换 回 
来 ， 还 原 成 原来 的 那个 内 网 地 址 ， 最 后 再 通过 内 网 接口 路 由 出 去 。 

以 上 地 址 转换 过 程 对 用 户 来 说 是 透明 的 ， 计 算 机 10.10.1.10 并 不 知道 自己 发 送出 去 的 
数据 包 在 传输 过 程 中 被 修改 过 ,只 是 认为 自己 发 送出 去 的 数据 包 能 得 到 正确 地 响应 数据 包 ， 
与 正常 情况 没有 什么 区 别 。 

通过 NAT 转换 还 可 以 保护 内 网 中 的 计算 机 不 受到 来 自 Internet 的 攻击 。 因 为 外 网 的 计 
算 机 不 能 直接 发 送 数 据 包 给 使 用 保留 地 址 的 内 网 计算 机 ， 只 能 发 给 NAT 服务 器 的 外 网 接 
口 。 在 内 网 计算 机 没有 主动 与 外 网 计算 机 联系 的 情况 下 ， 在 NAT 服务 器 的 NAT 地 址 映射 
表 中 是 无 法 找到 相应 条 目的 ， 因 此 也 就 无 法 把 该 数据 包 的 目的 IP 转换 成 内 网 IP。 


名 说明: 在 有 些 情况 下 ， 数 据 包 还 可 能 会 经 过 多 次 的 地 址 转换 。 


2. 动态 NAT 


以 上 介绍 的 NAT 也 称 为 源 NAT， 即 改变 数据 包 的 源 IP 地 址 ， 通 常 也 称 为 静态 NAT， 
它 用 于 内 网 的 计算 机 共用 公 网 IP 上网。 还 有 一 种 NAT 是 目的 NAT， 改 变 的 是 数据 包 的 目 
的 他 地 址 ， 通常 也 称 为 动态 NAT， 它 用 于 把 某 一 个 公 网 IP 映射 为 某 一 内 网 卫 ， 使 两 者 建 
立 固 定 的 联系 。 当 Internet 上 的 计算 机 访问 公 网 IP 时 ，NAT 服务 器 会 把 这 些 数据 包 的 目的 
地 址 转换 为 对 应 的 内 网 IP， 再 路 由 给 内 网 计算 机 。 


3. 端口 NAT 


另外 还 有 一 种 NAT 称 为 端口 NAT, 它 可 以 使 公 网 卫 的 某 一 端口 与 内 网 IP 的 某 一 端口 
建立 映射 关系 。 当 来 自 Internet 的 数据 包 访问 的 是 这 个 公 网 IP 的 指定 端口 时 ，NAT 服务 器 
不 仅 会 把 数据 包 的 目的 公 网 IP 地 址 转换 为 对 应 的 内 网 IP， 而 且 会 把 数据 包 的 目的 端口 号 
也 根据 映射 关系 进行 转换 。 

除了 存在 单独 的 NAT 设备 外 ，NAT 功能 还 通常 被 集成 到 路 由 器 、 防 火 墙 等 设备 或 软 
件 中 。iptables 防火 墙 也 集成 了 NAT 功能， 可 以 利用 NAT 表 中 的 规则 链 对 数据 包 的 源 或 目 
的 JP 地 址 进行 转换 。 下 面 两 节 将 分 别 介绍 在 iptables 防火 墙 中 实现 源 NAT 和 目的 NAT 的 
专 法 。 


9.4.2 ”使 用 iptables 配置 源 NAT 


在 前 面 的 有 关 章 节 中 ， 已 经 介绍 了 路 由 和 过 滤 数 据 包 的 方法 ， 它 们 都 不 牵涉 到 对 数据 
包 的 卫 地 址 进行 改变 。 但 源 NAT 需要 对 内 网 出 去 的 数据 包 的 源 IP 地 址 进行 转换 ， 用 公 网 
IP 代替 内 网 IP， 以 便 数据 包 能 在 Internet 上 传输 。iptables 的 源 NAT 的 配置 应 该 是 在 路 由 
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和 网 络 防火 墙 配置 的 基础 上 进行 的 。 

iptables 防火 墙 中 有 3 张 内 置 的 表 ， 其 中 的 nat 表 实现 了 地 址 转换 的 功能 。nat 表 包 含 
PREROUTING、OUTPUT 和 POSTROUTING 3 条 链 ， 里 面包 含 的 规则 指出 了 如 何 对 数据 
包 的 地 址 进行 转换 。 其 中 ， 源 NAT 的 规则 在 POSTROUTING 链 中 定义 。 这 些 规则 的 处 理 
是 在 路 由 完成 后 进行 的 ， 可 以 使 用 “-j SNAT” 目 标 动 作对 匹配 的 数据 包 进 行 源 地 址 转换 。 

在 图 9-10 所 示 的 网 络 结构 中 ， 假 设 让 iptables 防火 墙 承担 NAT 服务 器 功能 。 此 时 ， 如 
果 希 望 内 网 10.10.1.0/24 出 去 的 数据 包 其 源 人 地 址 都 转换 外 网 接口 eth0 的 公 网 IP 地 址 
218.75.26.35， 则 需要 执行 以 下 iptables 命令 。 


# iptables -t nat -A POSTROUTING -s 10.10.1.0/24 -o eth0 -j SNAT --to-source 
2 .75226-35 


以 上 命令 中 ,“ -tnat" 指 定 使 用 的 是 nat 表 ,“-APOSTROUTING "表示 在 POSTROUTING 
链 中 添加 规则 ,“--to-source 218.75.26.35” 表 示 把 数据 包 的 源 IP 地 址 转换 为 218.75.26.35， 
而 根据 -s 选项 的 内 容 ， 匹 配 的 数据 包 其 源 IP 地 址 应 该 是 属于 10.10.1.0/24 子 网 的 。 还 有 ， 
“-o eth0” 指 定 了 只 有 从 eth0 接口 出 去 的 数据 包 才 做 源 NAT 转换 ， 因 为 从 其 他 接口 出 去 的 
数据 包 可 能 不 是 到 Internet 的 ， 不 需要 进行 地 址 转换 。 

以 上 命令 中 ， 转 换 后 的 公 网 地 址 直接 是 eth0 的 公 网 IP 地 址 。 也 可 以 使 用 其 他 地 址 ， 
例如 ，218.75.26.34。 此 时 ， 需 要 为 eth0 创建 一 个 子 接口 , 并 把 IP 地 址 设置 为 218.75.26.34， 
使 用 的 命令 如 下 所 示 。 

# ifconfig eth0:1 218.75.26.34 netmask 255.255.255.240 


以 上 命令 使 eth0 接口 拥有 两 个 公 网 IP。 也 可 以 使 用 某 一 IP 地 址 范围 作为 转换 后 的 公 
网 地 址 ， 此 时 要 创建 多 个 子 接口 ， 并 对 应 每 一 个 公 网 地 址 。 而 “--to-source ”选项 后 的 参数 
应 该 以 “a.b.c.x-a.b.c.y” 的 形式 出 现 。 

前 面 介绍 的 是 数据 包 转 换 后 的 公 网 IP 是 固定 的 情况 。 如 果 公 网 IP 地 址 是 从 ISP 服务 
商 那 里 通过 拨号 动态 获得 的 ， 则 每 一 次 拨号 所 得 到 的 地 址 是 不 同 的 ， 并 且 网 络 接口 也 是 在 
拨号 后 才 产 生 的 。 在 这 种 情况 下 ， 前 面 命令 中 的 “--to-source ”选项 将 无 法 使 用 。 为 了 解决 
这 个 问题 ，iptables 提供 了 另 一 种 称 为 IP 伪装 的 源 NAT， 其 实现 方法 是 采用 “-j 
MASQUERADE” 目 标 动作 ， 具 体 命令 如 下 所 示 。 


# iptables -t nat -A POSTROUTING -s 10.10.1.0/24 -o PPP0 -j] MASQUERADE 


以 上 命令 中 ，ppp0 是 拨号 成 功 后 产生 的 虚拟 接口 ， 其 IP 地 址 是 从 ISP 服务 商 那 里 获 
得 的 公 网 IP。“-j MASQUERADE” 表 示 把 数据 包 的 源 IP 地 址 改 为 ppp0 接口 的 全 地址。 


全 注意 ; 除了 上 面 的 源 NAT 配置 外 ， 在 实际 应 用 中 ， 还 需要 配置 其 他 一 些 有 关 iptables 
网 络 防火 墙 的 规则 ， 同 时 ， 路 由 的 配置 也 是 必 不 可 少 的 。 
9.4.3 ”使 用 iptables 配置 目的 NAT 


目的 NAT 改变 的 是 数据 包 的 目的 卫 地 址 。 当 来 自 Internet 的 数据 包 访 问 NAT 服务 器 
网 络 接口 的 公 网 IP 时 , NAT 服务 器 会 把 这 些 数 据 包 的 目的 地 址 转换 为 某 一 对 应 的 内 网 卫 ， 
再 路 由 给 内 网 计算 机 。 这 样 ， 使 用 内 网 IP 地 址 的 服务 器 也 可 以 为 Internet 上 的 计算 机 提供 
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网 络 服务 了 。 

如 图 9-11 所 示 ， 位 于 子 网 10.10.1.0/24 的 是 普通 的 客户 机 ， 它 们 使 用 源 NAT 访问 
Internet， 而 子 网 10.10.2.0/24 是 服务 器 网 段 ， 里 面 的 计算 机 运行 着 各 种 网 络 服务 ， 它 们 不 仅 
要 为 内 网 提供 服务 ， 而 且 要 为 Internet 上 的 计算 机 提供 服务 。 但 由 于 使 用 的 是 内 网 地 址 ， 
此 需要 在 NAT 服务 器 配置 目的 NAT， 才 能 让 来 自 Intemet 的 数据 包 能 顺利 到 达 服 务 器 网 段 。 


子 网 10.10.1.0/24 


10.10.1.1[ -NAT | 218.75.26.35 
eth1 | 服务 器 [eth0 


eth2 
10.10.2.1 


10.10.2.3 Ni 10.10.2.9 


子 网 10.10.2.0/24 
图 9-11 用 于 目的 NAT 配置 的 例子 网 络 结构 


假设 IP 为 10.10.2.3 的 计算 机 需要 为 Internet 提供 网 络 服务 ， 此 时 ， 可 以 规定 一 个 公 网 
IP 地址 ， 使 其 与 10.10.2.3 建立 映射 关系 。 假 设 使 用 的 公 网 IP 是 218.75.26.34， 则 配置 目的 
NAT 的 命令 如 下 : 

# iptables -t nat -A PREROUTING -i eth0 -d 218.75.26.34/32 -j DNAT --to 

| 

以 上 命令 是 在 PREROUTING 链 中 添加 规则 ， 这 条 链 位 于 路 由 模块 的 前 面 。 因 此 是 在 
路 由 前 改变 了 数据 包 的 目的 I 了 P, 这 将 对 路 由 的 结果 造成 影响 。 由 于 网 络 接 口 eth0 与 Internet 
连接 ， 因 此 ,“-i eth0” 保 证 了 数据 包 是 来 自 Internet 的 数据 包 。“-d 218.75.26.34/32” 表 示 
数据 包 的 目的 地 是 到 218.75.26.34 主机 ， 而 这 个 IP 应 该 是 eth0 某 个 子 接口 的 地 址 , 这 样 才 
能 由 NAT 服务 器 接收 数据 包 。 和 否则 ， 数 据 包 将 会 因为 无 人 接收 而 丢弃 。 
“-j DNAT” 指 定 了 目标 动作 是 DNAT， 表示 要 对 数据 包 的 目的 IP 进行 修改 ， 它 的 子 选 
“--to 10.10.2.3” 表 示 修 改 后 的 IP 地 址 是 10.10.2.3。 于 是 ， 目 的 卫 修改 后 ， 接 下 来 将 由 
由 模块 把 数据 包 路 由 给 10.10.2.3 服务 器 。 

以 上 是 让 一 个 公 网 PP 完全 映射 到 内 网 的 某 个 了 了 上 ， 此 时 同 10.10.2.3 主机 直接 位 于 
JInternet， 并 且 使 用 218.75.26.34 地 址 是 没有 区 别 的 。 因 此 这 种 方式 虽然 达到 了 地 址 转换 的 
目的 ， 但 实际 上 并 没有 带 来 多 大 好 处 。 因 为 使 用 NAT 的 主要 目的 是 为 了 能 够 共用 公 网 IP 
地 址 ， 以 节省 日 益 紧 张 的 IP 地 址 资源 。 为 了 达到 共用 人 P 地 址 的 目的 ， 可 以 使 用 端口 映射 。 

端口 映射 是 把 一 个 公 网 IP 地 址 的 某 一 端口 映射 到 内 网 某 一 IP 地 址 的 某 一 端口 上 去 。 
它 使 用 起 来 非常 灵活 , 两 个 映射 的 端口 其 端口 号 可 以 不 一 样 , 而且 同一 个 公 网 IP 的 不 同 端 
口 可 以 映射 到 不 同 的 内 网 卫 地 址 上 去 。 

例如 , 假设 主机 10.10.2.3 只 为 外 网 提供 Web 服务 ,只 需要 开放 80 端口 ,而 主机 10.10.2.9 
为 外 网 提供 了 FTP 服务 ， 因 此 需要 开放 21 号 端口 。 在 这 种 情况 下 ， 完 全 可 以 把 公 网 卫 地 
址 218.75.26.34 的 80 号 和 21 号 端口 分 别 映射 到 10.10.2.3 和 10.10.2.9 的 80 号 和 21 号 端口 ， 
以 便 两 台 内 网 服务 器 可 以 共用 一 个 公 网 PP。 具体 命令 如 下 所 示 。 
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# iptables -t nat -A PREROUTING -i eth0 -d 218.75.26.34/32 -p tcp --dport 
80 -了 DNAT ==to 10.10.2.3:80 
# iptables -t nat -A PREROUTING -i eth0 -d 218.75.26.34/32 -p tcp --dport 
21 -ji DNAT -=to 10.10.2.9:21 


以 上 命令 中 ， 目 的 地 址 是 218.75.26.34 的 TCP 数据 包 。 当 目的 端口 是 80 时 ， 将 转发 
给 10.10.2.3 主机 的 80 端口 ， 当 目的 端口 是 21 时， 将 转发 给 10.10.2.9 主机 的 21 号 端口 。 
当然 ， 两 个 映射 的 端口 完全 可 以 不 一 样 。 例 如 ， 如 果 还 有 一 台 主 机 10.10.2.8 也 通过 80 端 
口 提供 Web 服务 ， 并 且 映 射 的 人 P 地 址 也 是 218.75.26.34， 此 时 需要 把 218.75.26.34 的 另 一 
个 端口 ， 如 8080， 映 射 到 10.10.2.8 的 80 端口 ， 命 令 如 下 : 


# iptables -t nat -A PREROUTING -i eth0 -d 218.75.26.34/32 -p tcp --dport 
8080 -j] DNAT --to 10.10.2.8:80 


全 注意 ! 上 面 介 绍 的 只 是 有 关 iptables 中 的 DNAT 配置 ， 在 实际 应 用 中 ， 还 需要 其 他 一 些 
配置 的 配合 才能 真正 成 功 。 例 如 ，filter 表 的 3 个 链 应 该 允许 相应 的 数据 包 通 过 ， 
应 该 为 每 一 个 外 网 IP 创建 eth0 接口 的 子 接口 等 。 


此 外 ， 对 于 FTP 服务 来 说 ， 由 于 21 号 端口 只 是 建立 控制 连接 时 用 到 的 端口 ， 真 正 传 
输 数 据 时 要 使 用 其 他 端口 。 而 且 在 被 动 方式 下 ， 客 户 端 向 FTP 服务 器 发 起 连接 的 端口 号 是 
随机 的 。 因 此 ， 无 法 通过 开放 固定 的 端口 来 满足 要 求 。 为 了 解决 这 个 问题 ， 可 以 在 Linux 
系统 中 载 入 以 下 两 个 模块 : 

modprobe ip conntrack ftp 

modprobe ip nat ftp 

这 两 个 模块 可 以 监控 FTP 控制 流 , 以 便 能 事先 知道 将 要 建立 的 FTP 数据 连接 所 使 用 的 
端口 ， 从 而 可 以 允许 相应 的 数据 包 通 过 ， 即 使 防火 墙 没 有 开放 这 个 端口 。 


9.5 人 小 结 


防火 墙 是 保护 主机 和 网 络 安全 的 一 种 重要 设施 , Linux 自 带 的 iptables 防火 墙 功能 非常 
丰富 ,是 Linux 系统 构建 防火 墙 的 首选 .本 章 首先 讲述 iptables 防水 墙 的 实现 方式 及 iptables 
命令 的 格式 ， 然 后 分 别 介绍 了 使 用 iptables 命令 配置 主机 防火 墙 、 网 络 防火 墙 的 方法 ; 最 
后 还 介绍 了 用 iptables 防火 墙 实 现 动态 地 址 转换 (NAT) 的 配置 方法 。 


从 午 有 
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入 侵 检测 系统 已 经 成 为 了 安全 市 场 上 新 的 热点 ， 不 仅 越 来 越 多 地 受到 人 们 的 关注 ， 而 
且 已 经 开始 在 各 种 不 同 的 环境 中 发 挥 着 关键 的 作用 。 本 章 将 介绍 入 侵 检 测 的 基本 概念 、 
Snort 的 安装 与 使 用 、Snort 的 配置 ， 以 及 Snort 规则 的 编写 等 内 容 。 


10.1 入 侵 检 测 简 介 


传统 上 ， 企 业 网 络 一 般 采用 防火 墙 作为 安全 的 第 一 道 防线 。 但 随 着 攻击 工具 与 手法 的 
日 趋 复杂 多 样 ， 单 纯 的 防火 墙 策略 已 经 无 法 满足 对 网 络 安全 的 进一步 需要 ， 网 络 的 防卫 必 
须 采 用 一 种 纵深 的 、 多 样 化 的 手段 。 入 侵 检测 系统 是 继 防火 墙 之 后 ， 保 护 网 络 安全 的 第 二 
道 防线 。 它 可 以 在 网 络 受到 攻击 时 ， 发 出 警报 或 者 采取 一 定 的 干预 措施 ， 以 保证 网 络 的 安 
全 。 本 节 主 要 介绍 网 络 安全 的 基础 知识 、 网 络 攻击 的 类 型 、 入 侵 检 测 系统 的 组 成 与 工作 原 
理 等 内 容 。 


10.1.1 网 络 安全 


网 络 安全 是 指 提供 网 络 服务 的 整个 系统 的 硬件 、 软 件 ， 以 及 数据 要 受到 保护 。 这 三 者 
不 会 因为 偶尔 或 恶意 的 原因 而 遭 到 破坏 、 更 改 、 泄 露 或 者 中 断 服 务 ， 确 保 系统 能 连续 、 可 
靠 、 正 常 地 运行 。 网 络 安 全 是 一 门 涉及 计算 机 科学 、 应 用 数学 、 信 息 论 、 密 码 技术 、 网 络 
技术 、 通 信 技 术 和 信息 安全 技术 等 多 种 学 科 的 综合 性 学 科 。 在 不 同 的 应 用 和 环境 下 ， 网 络 
安全 会 被 赋予 不 同 的 内 容 。 

首先 ， 网 络 安全 可 以 是 指 系统 运行 的 安全 。 它 侧重 于 保证 系统 正常 的 运行 ， 避 免 因为 
系统 的 骨 溃 和 损坏 而 对 系统 存储 、 处 理 和 传输 的 信息 造成 破坏 和 损失 。 例 如 ， 对 计算 机 硬 
件 系统 所 在 机 房 的 保护 ， 计 算 硬件 系统 结构 设计 上 的 安全 考虑 ， 计 算 机 操作 系统 、 应 用 软 
件 、 数 据 库 系统 设计 时 的 安全 考虑 ， 电 磁 信息 泄露 的 防护 等 ， 这 些 措 施 都 是 为 了 保证 系统 
安全 可 靠 地 运行 。 

其 次 ， 网 络 安全 可 以 是 指 网 络 上 系统 信息 的 安全 ， 即 有 关系 统 安全 的 信息 不 被 泄露 、 
修改 或 删除 。 这 些 系 统 信息 包括 用 户 密码 、 用 户 访问 控制 权限 、 系 统 日 志 等 ， 可 以 采取 安 
全 审计 、 计 算 机 病毒 防治 、 入 侵 检测 以 及 数据 加 密 等 措施 保证 安全 。 

还 有 ， 网 络 安全 可 以 是 指 如 何 控制 网 络 上 不 良 信息 的 传播 ， 防 止 因 这 些 不 良 信息 的 传 
播 而 影响 实体 安全 。 它 侧重 于 防止 和 控制 非法 、 有 害 的 信息 传播 后 所 产生 的 不 良 后 果 ， 本 
质 上 是 维护 道德 、 法 律 或 国家 利益 。 采 用 的 技术 包括 不 良 信息 过 滤 、 反 垃圾 邮件 技术 等 。 

最 后 ， 网 络 安全 可 以 是 指 网 络 上 信息 内 容 的 安全 ， 即 “信息 安全 ”。 它 侧重 于 保护 信 
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息 的 私密 性 、 真 实 性 和 完整 性 ， 避 免 攻击 者 通过 各 种 攻击 手段 进行 穷 听 、 冒 充 和 诈骗 等 有 
损 于 合法 用 户 的 行为 ， 本 质 上 是 保护 用 户 的 利益 和 隐私 。 

网 络 安全 涉及 的 内 容 既 有 技术 方面 的 ， 也 有 管理 方面 的 ， 两 个 方面 相互 补充 ， 缺 一 不 
可 。 技 术 方面 主要 侧重 于 防范 外 部 非法 用 户 的 攻击 ， 管 理 方面 则 侧重 于 内 部 人 为 因素 的 管 
理 。 在 新 的 形势 下 ， 如 何 更 加 有 效 地 提高 计算 机 网 络 系统 的 安全 性 能 、 保 护 重要 的 数据 资 
源 ， 已 经 成 为 所 有 计算 机 网 络 应 用 系统 必须 要 考虑 和 解决 的 一 个 重要 问题 。 


10.1.2 ”常见 的 网 络 攻击 类 型 


防范 网 络 攻击 是 保证 网 络 安全 的 一 项 重要 内 容 。 黑 客 攻 击 网 络 的 手法 虽然 五 花 八 门 ， 
但 也 是 有 一 定 规律 的 。 一 般 来 说 ， 黑 客 攻击 网 络 前 ， 要 先 通 过 各 种 手段 收集 网 络 设备 及 主 
机 信息 ， 以 便 能 找 出 系统 的 漏洞 ， 然 后 再 采用 有 效 的 方法 对 系统 实施 攻击 。 具 体 来 说 ， 黑 
客 常用 的 攻击 手法 有 以 下 5 种 类 型 。 


1. 漏洞 扫描 


漏洞 是 指 计算 机 软件 存在 的 某 些 缺 陷 ， 这 些 缺 陷 如 果 被 攻击 者 利用 ， 可 能 会 对 计算 机 
或 网 络 的 安全 造成 威胁 。 漏 洞 扫 描 是 指 对 计算 机 系统 进行 检查 ， 以 发 现 其 中 已 知 或 未 知 的 
漏洞 。 安 全 管理 员 可 以 通过 漏洞 扫描 发 现 系统 中 存在 的 漏洞 ， 以 便 及 时 安装 补丁 程序 ， 修 
补漏 洞 。 黑 客 也 可 以 通过 漏洞 扫描 发 现 系统 中 存在 的 漏洞 ， 以 便 实 施 攻击 。 
漏洞 扫描 可 以 是 基于 主机 或 基于 网 络 进行 的 。 基 于 主机 的 漏洞 扫描 需要 在 主机 上 进 
行 ， 虽 然 可 以 发 现 更 多 的 漏洞 ， 但 由 于 需要 主机 管理 员 的 权限 ， 而 黑客 是 不 具备 这 样 的 条 
件 的 ， 因 此 一 般 由 系统 管理 员 使 用 ， 以 便 能 发 现 并 修补 漏洞 。 
黑客 主要 使 用 基于 网 络 的 方法 进行 漏洞 扫描 。 它 控制 某 一 台 主机 ， 并 通过 网 络 对 其 他 
计算 机 进行 扫描 。 一 般 的 做 法 是 根据 不 同 漏洞 的 特点 ， 构 造 特定 的 网 络 数据 包 ， 发 送 给 一 
个 或 多 个 目标 主机 ， 再 根据 目标 主机 回复 的 数据 包 判 断 某 一 漏洞 是 否 存在 。 一 般 来 说 ， 基 
于 网 络 的 漏洞 扫描 工具 由 以 下 几 个 部 分 组 成 。 
口 漏洞 数据 库 模 块 : 漏洞 数据 库 包含 了 各 种 操作 系统 、 数 据 库 系统 及 网 络 应 用 软件 
的 各 种 漏洞 信息 ， 以 及 对 漏洞 进行 检测 时 所 需 的 指令 。 由 于 新 的 安全 漏洞 会 不 断 
地 出 现 ， 该 数据 库 需 要 经 常 进行 更 新 ， 以 便 能 够 检测 到 最 新 发 现 的 漏洞 。 

口 扫描 引擎 模块 : 扫描 引擎 是 漏洞 扫描 工具 的 主要 组 成 部 分 。 它 根据 用 户 的 要 求 ， 
构造 出 扫描 某 一 漏洞 所 需 的 网 络 数据 包 ， 发 送 到 目标 系统 。 然 后 对 目标 系统 回复 
的 应 答 数据 包 进 行 分 析 ， 提 取 其 中 的 特征 信息 ， 再 与 漏洞 数据 库 中 的 漏洞 特征 进 
行 比较 ， 于 是 就 能 判断 出 所 扫描 的 目标 系统 中 是 否 存 在 该 漏洞 。 

口 用 户 接口 模块 : 用 户 接口 模块 使 用 户 可 以 通过 一 定 的 形式 设置 扫描 参数 ， 包 括 目 
标 系统 位 置 、 扫 描 范围 等 。 

口 报告 生成 工具 : 根据 扫描 引擎 模块 的 扫描 结果 ， 生 成 用 户 可 读 的 扫描 报告 ， 告 知 
在 哪些 目标 系统 上 发 现 了 哪些 漏洞 。 


全 说 明 : 漏洞 扫描 一 般 是 黑客 攻击 计算 机 系统 时 首先 要 做 的 事情 ， 如 果 某 一 目标 系统 被 黑 
客 发 现存 在 严重 的 安全 漏洞 ， 则 该 目标 系统 一 般 都 会 被 轻而易举 地 攻破 。 
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2. 密码 破解 


密码 是 保证 系统 安全 的 最 基本 的 措施 。 如 果 黑 客 得 到 了 系统 管理 员 账 号 的 密码 ， 则 意 
味 着 系统 已 经 被 完全 攻破 ， 黑 客 可 以 在 系统 上 做 任何 事情 了 ， 这 一 般 也 是 黑客 进行 攻击 的 
最 终 目标 。 正 是 由 于 密码 对 保护 系统 安全 是 如 此 的 重要 ， 因 此 一 般 密码 在 系统 中 存放 时 都 
经 过 加 密 ， 并 且 进 行 了 非常 严格 的 安全 访问 控制 。 但 不 管 怎样 ， 黑 客 有 时 还 是 能 通过 某 种 
方法 ， 比 如 利用 系统 漏洞 得 到 存放 密码 的 文件 。 

如 果 黑 客 得 到 的 是 密码 的 密 文 ， 则 他 就 需要 通过 一 定 的 手段 试图 对 密码 进行 破解 ， 以 
便 能 得 到 密码 的 明文 。 破 解密 码 的 难 易 程度 取决 于 加 密 的 算法 ， 有 些 简单 的 加 密 算法 ， 例 
如 算法 是 可 逆 的 ， 可 以 被 轻而易举 地 破解 。 但 大 多 数 的 加 密 算 法 不 会 这 么 简单 ， 而 且 是 不 
可 逆 的 ， 需 要 通过 特定 的 方法 进行 破解 ， 而 且 不 能 保证 成 功 。 

由 于 不 可 逆 的 加 密 算法 无 法 通过 密 文 直接 得 到 明文 ， 因 此 需要 对 明文 进行 猜测 ， 然 后 
把 猜测 的 明文 进行 加 密 后 再 与 密 文 进行 比较 。 如 果 相 符 ， 则 证 明 猜 测 是 正确 的 。 由 于 目前 
己 知 的 加 密 算法 只 有 有 限 的 几 种 ， 而 且 大 多 数 系统 所 采用 的 加 密 算 法 是 公开 的 ， 因 此 通过 
猜测 进行 密码 破解 是 可 行 的 ， 而 且 实 践 证 明成 功 的 概率 也 是 相当 高 的 。 

一 种 最 简单 的 猜测 方法 是 对 所 有 可 以 用 于 密码 的 字符 进行 组 合 ， 然 后 把 加 密 后 的 密 文 
与 得 到 的 密 文 进行 比较 , 这 种 猜测 方法 也 称 为 强力 破解 。 由 于 可 以 用 于 密码 的 字符 非常 多 ， 
它们 排列 组 合 后 产生 的 合法 字符 串 是 一 个 天 文 数字 ， 而 且 一 般 加 密 计 算 时 需要 耗费 较 多 的 
时 间 ， 因 此 想 在 有 限 的 时 间 内 把 所 有 的 字符 组 合 都 斌 一遍 是 不 可 能 的 。 但 在 实际 情况 中 
很 多 人 设置 密码 时 所 使 用 的 字符 没有 那么 复杂 ， 例 如 只 使 用 数字 ， 或 者 字符 数 很 少 ， 则 被 
猜 中 的 可 能 性 将 会 大 大 增加 。 

除了 强力 破解 外 ， 还 有 一 种 有 效 的 破解 方法 是 字典 破解 ， 它 使 用 字典 上 的 单词 或 单词 
组 合 进行 有 限 的 猜测 。 因 为 大 多 数 的 人 设置 密码 时 为 了 方便 记忆 ， 一 般 会 使 用 某 些 特定 的 
单词 或 单词 组 合作 为 密码 。 虽 然 各 种 单词 的 组 合 非常 复杂 ， 可 能 性 也 非常 多 ， 但 与 强力 猜 
测 相 比 ， 所 需 的 猜测 次 数 已 经 大 大 降低 。 

除了 使 用 真实 字典 上 的 单词 外 ， 还 有 一 种 更 有 效 的 方法 是 搜集 各 种 已 经 被 人 使 用 过 的 
密码 ， 组 成 一 个 密码 字典 。 在 实际 应 用 中 ， 使 用 密码 的 场合 非常 多 ， 大 多 数 的 人 不 会 为 每 
一 个 系统 都 设置 一 个 不 同 的 密码 ， 而 是 在 所 有 的 系统 中 使 用 有 限 的 儿 个 密码 。 于 是 ， 如 果 
一 个 人 在 某 个 不 重要 的 系统 设置 的 密码 被 人 搜集 过 去 ， 加 入 了 密码 字典 ， 则 以 后 在 其 他 系 
统 中 设置 同样 密码 时 将 会 很 容易 被 破解 。 

例如 ， 目 前 Internet 需要 注册 的 系统 非常 多 ， 用 户 为 了 使 用 某 一 网 站 的 资源 ， 经 常 需 
要 在 该 网 站 上 注册 一 个 账号 ， 指 定 一 个 用 户 名 和 密码 。 为 了 记忆 方便 ， 指 定 密码 时 ， 经 常 
使 用 在 其 他 系统 中 使 用 过 的 密码 ， 例 如 某 一 银行 卡 的 密码 。 此 时 ， 如 果 在 该 网 站 中 指定 的 
密码 被 加 入 了 密码 字典 ， 则 会 为 黑客 破解 该 用 户 的 银行 卡 密码 提供 方便 。 

以 上 情况 发 生 的 可 能 性 很 大 , 因为 很 多 网 站 的 安全 性 非常 差 , 密码 很 容易 会 被 人 盗 走 ， 
或 者 网 站 的 管理 员 本 身 也 是 一 名 黑客 。 这 些 密码 的 盗窃 者 通过 Internet 进行 交流 ， 把 各 自 
搜集 到 的 密码 贡献 出 来 ， 可 以 组 成 一 个 非常 大 的 密码 字典 。 因 此 ， 虽 然 用 户 觉得 某 些 系统 
中 的 密码 即使 被 咨 也 无 所 谓 ， 但 实际 上 会 对 其 他 系统 中 使 用 同样 密码 的 账号 造成 潜在 的 
威胁 。 
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全 说 明 : 使 用 密码 字典 进行 密码 破解 的 有 效 性 还 可 以 通过 以 下 方法 进行 计算 。 全 世界 目前 
的 人 口 接近 70 亿 ， 假 设 每 人 使 用 5 个 密码 ， 则 所 有 密码 的 个 数 只 有 350 亿 个 。 
按照 目前 计算 机 的 运算 速度 ， 测 试 这 个 数字 的 密码 很 快 就 可 以 完成 。 


3. DoS 和 DDoS 攻击 


DoS (Denial of Service， 拒 绝 服务 ) 是 一 种 通过 合法 的 请 求 占用 过 量 的 服务 器 资源 ， 
从 而 使 其 他 用 户 无 法 得 到 服务 的 攻击 方式 。DoS 攻击 的 直接 目的 并 不 是 为 了 获取 目标 主机 
的 系统 权限 或 穷 取 系 统 资源 ， 而 是 通过 消耗 资源 使 目标 主机 处 于 瘫痪 状态 ， 甚 至 崩 江 。 这 
里 所 指 的 资源 可 以 是 服务 器 的 内 存 、 网 络 带宽 、CPU 及 磁盘 空间 等 。 

在 DoS 攻击 中 , 攻击 者 要 精心 构造 某 种 形式 的 网 络 数据 包 ， 然 后 不 断 地 向 目标 主机 发 
送 。 其 中 ， 用 得 最 多 的 数据 包 形 式 是 SYN 数据 包 。 在 TCP 协议 中 ， 建 立 一 个 TCP 连接 需 
要 经 过 3 次 握手 , 即 作为 连接 发 起 方 的 客户 端 首先 向 对 方 发 送 一 个 SYN 标志 位 为 1 的 数据 
包 ， 然 后 进入 SYN_SEND 状态 ， 等 待 服务 端 确认 。 服 务 端 收 到 该 SYN 数据 包 后 ， 要 回复 
一 个 SYN 和 ACK 都 为 1 的 数据 包 ， 然 后 进入 SYN_RECY 状态 。 正 常情 况 下 ， 客 户 端 要 
再 发 送 一 个 ACK 数据 包 ， 以 完成 TCP 连接 的 建立 过 程 。 

但 是 ， 如 果 此 时 客户 端 不 发 送 ACK 数据 包 ， 则 服务 端 将 会 在 SYN_RECY 状态 等 待 一 
定 的 时 间 ， 此 时 也 称 为 半 连 接 状 态 。 在 半 连 接 关 闭 前 ， 是 需要 占用 一 定 的 服务 端 资源 的 。 
如 果 半 连接 情况 是 少量 出 现 的 , 不 会 有 什么 问题 ,但 如 果 客 户 端 有 意 地 向 服务 端 发 送 SYN 
数据 包 而 不 发 送 随 后 的 ACK 数据 包 ， 则 服务 端 将 会 出 现 大 量 的 半 连 接 ， 此 时 将 会 消耗 大 
量 的 资源 ， 严 重 时 将 不 能 为 外 界 提供 服务 。 这 种 攻击 形式 也 称 为 SYN-Flood 攻击 。 

由 于 大 部 分 的 操作 系统 或 网 络 应 用 软件 都 有 防范 DoS 攻击 的 措施 , 因此 目前 由 一 台 主 
机 发 起 的 DoS 攻击 效果 一 般 不 是 很 理想 , 更 多 的 是 采用 DDoS, 即 分 布 式 的 拒绝 服务 攻击 。 
DDoS 与 DoS 最 大 的 区 别 是 在 DDoS 中 ， 攻 击发 起 者 不 是 一 台 主 机 ， 而 是 大 量 受 黑客 控制 
的 倪 偶 机 。 这 种 情况 下 ， 被 攻击 者 是 很 难 防范 的 。 

全 说 明 : 如 果 发 起 DoS 或 DDoS 攻击 时 利用 了 服务 器 的 菜 些 漏洞 , 则 攻击 的 效果 可 能 会 非 
常 明显 ， 此 时 ， 少 量 的 数据 包 就 可 能 会 使 服务 器 处 于 瘫 疾 状 态 。 


4. 缓冲 区 溢出 


利用 缓冲 区 溢出 进行 攻击 是 一 种 很 有 效 的 攻击 方法 ， 在 各 种 操作 系统 和 应 用 软件 中 广 
泛 存 在 着 缓冲 区 溢出 漏洞 。 一 般 情 况 下 ， 大 部 分 的 程序 都 需要 接受 用 户 的 输入 ， 它 们 在 处 
理 这 些 输入 前 ， 一 般 都 是 先 放 到 缓冲 区 。 正 常情 况 下 ， 缓 冲 区 的 大 小 是 足够 存放 这 些 用 户 
输入 的 数据 的 。 但 是 ， 如 果 攻 击 者 有 意 地 输入 一 些 超 长 的 数据 ， 而 接受 这 些 数据 的 程序 不 
做 输入 检查 ， 则 存放 这 些 超 长 数据 时 有 可 能 会 溢出 缓冲 区 ， 从 而 覆盖 掉 其 他 程序 代码 ， 出 
现 不 可 意料 的 后 果 。 

更 为 严重 的 是 ， 如 果 这 些 数据 是 经 过 精心 构造 的 ， 则 有 可 能 从 缓冲 区 溢出 的 数据 是 一 
段 程序 代码 ， 而 且 会 通过 某 种 方式 被 执行 ， 从 而 引起 严重 的 后 果 。 因 为 如 果 此 时 这 段 代 码 
执行 者 的 身份 是 管理 员 用 户 ， 则 等 于 黑客 拥有 了 主机 的 管理 员 权限 ， 可 以 在 主机 上 做 任何 
事情 。 例 如 ， 下 面 的 一 段 C 语言 程序 就 存在 着 缓冲 区 溢出 漏洞 。 
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void function (char *str) 
char buffer[16]; 
strcpy (buffer, str); 
} 
void main() 
{ 
char input[1024]; 
scanf ("%s",input); 
function (input); 
printf ("Hello World!"); 
} 
以 上 程序 中 ，main() 函 数 要 求 用 户 输入 一 个 字符 串 ， 然 后 以 输入 的 字符 串 作为 参数 调 
用 function() 函 数 。 如 果 用 户 输入 的 字符 串 小 于 15 个 字符 ， 不 会 有 什么 问题 。 但 如 果 用 户 
输入 的 字符 多 于 15 个 ， 例 如 输入 100 个 字符 A， 则 function() 函 数 中 的 字符 数组 buffer 将 
会 发 生 溢出 ， 把 正常 的 程序 代码 覆盖 掉 。 
通过 进一步 分 析 可 以 发 现 ， 程 序 代 码 在 内 存 中 存放 时 ，buffer 数组 后 面 的 某 个 位 置 可 
能 存放 的 是 调用 fonction() 函 数 后 的 返回 地 址 。 如 果 这 个 返回 地 址 被 字符 A 覆盖 , 则 执行 完 
function() 函 数 后 ， 程 序 将 会 返回 到 内 存 地 址 0x41414141 处 执行 〈41 是 字符 A 的 十 六 进 制 
ASCII 代码 值 )， 此 时 将 会 出 现 不 可 预料 的 结果 。 
更 进一步 地 ， 如 果 黑 客 事先 知道 内 存 的 某 一 位 置 有 一 段 可 利用 的 程序 代码 ， 或 者 其 通 
过 缓冲 区 溢出 或 其 他 方式 在 内 存 的 某 个 位 置 放 了 一 段 代 码 ， 则 可 以 用 这 段 代码 的 地 址 值 颖 
盖 function() 函 数 的 返回 地 址 。 于 是 ， 这 段 代码 就 有 机 会 被 执行 ， 黑客 就 可 以 通过 这 段 代 码 
的 执行 控制 了 计算 机 的 运行 。 
由 于 历史 的 原因 ， 缓 冲 区 溢出 漏洞 在 各 种 软件 中 广泛 存在 ， 而 且 最 新 的 软件 中 也 不 断 
地 被 发 现存 在 缓冲 区 溢出 漏洞 。 因 此 ， 利 用 缓冲 区 溢出 漏洞 进行 攻击 是 黑客 最 常用 的 一 种 
手法 ， 占 了 远程 网 络 攻 击 中 的 大 多 数 。 


5. 系统 后 门 与 木马 程序 


攻击 者 在 成 功 获得 系统 的 管理 员 权限 后 ， 需 要 采取 一 定 的 措施 保留 这 个 权限 ， 以 便 即 
使 系统 管理 员 修 补 了 系统 漏洞 ， 仍 然 可 以 轻松 地 进入 系统 。 为 了 达到 这 个 目的 ， 一 般 的 做 
法 是 修改 系统 的 配置 ， 或 者 在 系统 中 安装 一 个 程序 ， 以 便 设置 一 个 后 门 ， 方 便 下 次 进入 。 
设置 后 门 的 程序 也 称 为 特洛伊 木马 程序 ， 简 称 木 马 程序 。 

除了 利用 系统 漏洞 安装 木马 程序 外 ， 木 马 也 可 以 通过 正常 方式 安装 到 用 户 的 系统 中 。 
如 ， 通 过 让 用 户 打 开 带 木马 的 电子 邮件 附件 、 把 木马 程序 捆绑 在 其 他 软件 中 等 方式 ， 都 
以 让 木马 程序 潜入 到 用 户 的 系统 中 。 此 时 ， 黑 客 无 需 其 他 攻击 手段 ， 就 可 以 轻易 地 控制 
户 的 系统 。 
木马 程序 的 原理 实际 上 与 常用 的 远程 控制 软件 差不多 ， 只 不 过 它 功 能 比较 少 ， 而 且 是 
隐藏 在 用 户 的 系统 中 ， 一 般 情 况 下 很 难 发 现 。 木 马 程序 一 般 也 包含 服务 端 和 客户 端 ， 留 在 
户 系统 中 的 是 服务 端 ， 黑 客 在 自己 的 计算 机 里 运行 客户 端 就 可 以 控制 目标 主机 。 


10.1.3 入侵 检测 系统 
为 了 保证 网 络 安全 ,防范 网 络 攻 击 , 除了 及 时 修补 系统 漏洞 、 使 用 防火 墙 隔离 内 外 网 、 


到 宣 


~ 
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控制 计算 机 病毒 的 传播 、 加 强 用 户 的 安全 教育 和 采用 安全 的 通信 协议 等 措施 外 ， 还 有 一 种 
有 效 的 安全 措施 是 在 主机 或 网 络 中 构建 入 侵 检测 系统 。 

入 侵 是 指 对 计算 机 系统 的 非 授权 访问 或 者 未 经 许可 在 计算 机 系统 中 进行 的 操作 ， 入 侵 
者 可 能 是 通过 非法 的 手段 获取 了 系统 的 账号 ， 然 后 进行 非 授权 的 访问 。 或 者 其 本 身 是 合法 
的 系统 用 户 ， 但 超越 了 合法 的 权限 ， 在 系统 中 进行 了 非法 的 操作 。 

入 侵 检测 是 对 企图 入 侵 、 正 在 进行 的 入 侵 或 者 已 经 发 生 的 入 侵 进行 识别 的 过 程 。 它 通 
过 对 计算 机 系统 的 运行 状态 进行 监视 ， 发 现 各 种 攻击 企图 、 攻 击 行为 或 者 攻击 结果 ， 包 括 
检测 外 部 的 非法 入 侵 者 的 恶意 攻击 或 试探 ,以 及 内 部 合法 用 户 的 超越 使 用 权限 的 非法 行为 。 

IDS (Intrusion Detection System， 入 侵 检测 系统 ) 是 指 执行 入 侵 检测 任务 或 具有 入 侵 
检测 功能 的 系统 ， 可 以 是 软件 系统 或 者 软 硬 件 结合 的 系统 。 入 侵 检测 系统 通过 对 计算 机 网 
络 或 主机 系统 中 的 若干 关键 点 收集 信息 并 对 其 进行 分 析 ， 从 中 发 现 网 络 或 主机 中 是 否 有 违 
反 安 全 策略 的 行为 和 被 攻击 的 迹象 。 入 侵 检 测 系统 通常 具有 以 下 几 个 功能 : 
监控 、 分 析 用 户 和 系统 的 活动 情况 ; 
检查 系统 的 配置 是 否 存在 漏洞 ; 
评估 关键 系统 和 数据 文件 的 安全 性 ; 
识别 攻击 的 活动 模式 并 报警 ， 
通过 统计 分 析 发 现 异 常 活动 ; 

对 操作 系统 进行 审计 跟踪 ， 识 别 违反 安全 策略 的 用 户 活动 。 

入 侵 检测 系统 可 以 分 为 基于 网 络 、 基 于 主机 及 分 布 式 3 类 。 基 于 网 络 的 入 侵 检测 系统 
主要 监视 网 络 中 流 经 的 数据 包 ， 以 发 现 入 侵 或 者 攻击 的 蛛丝马迹 。 基 于 主机 的 入 侵 检测 系 
统 主要 监视 针对 主机 的 活动 日 志 〈 用 户 的 命令 、 登 录 / 退 出 过 程 ， 使 用 的 数据 等 )， 以 此 来 
判断 入 侵 企图 。 分 布 式 IDS 通过 分 布 于 网 络 中 各 个 节点 的 传感器 或 者 代理 对 整个 网 络 和 主 
机 环境 进行 监视 ， 收 集 到 的 数据 再 由 中 心 监视 平台 进行 处 理 ， 以 发 现 入 侵 或 攻击 企图 。 如 
图 10-1 所 示 的 是 典型 的 入 侵 检 测 系统 的 结构 模型 。 


OOOOODDO 


知识 库 
| - 1 
配置 信息 | 检测 器 
tt | 
数据 收集 器 控制 动作 
下 


数据 包 、 审 计数 据 等 


目标 系统 
图 10-1 典型 的 入 侵 检测 系统 模型 
在 图 10-1 中 ， 各 种 组 件 的 功能 如 下 所 示 。 
口 数据 收集 器 〈 又 称 为 探测 器 ): 主要 负责 收集 任何 可 能 包含 入 侵 行为 线索 的 系统 数 
据 ， 包 括 网 络 数据 包 、 日 志文 件 和 系统 调用 记录 等 。 探 测 器 将 这 些 数据 收集 起 来 ， 
再 送 给 检测 器 进行 处 理 。 
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口 检测 器 〈 又 称 分 析 引 擎 ): 通过 分 析 探 测 器 送 来 的 数据 ， 再 结合 知识 库 中 的 内 容 
分 析 和 发 现 入 侵 行为 ， 并 发 出 警报 信号 。 
口 知识 库 : 存放 入 侵 行为 的 模式 、 用 户 历史 活动 档案 或 者 检测 规则 集合 等 内 容 。 
口 控制 器 : 根据 警报 信号 ， 由 系统 管理 员 人 工 发 出 控制 动作 ， 或 者 自动 做 出 反应 。 
大 部 分 的 入 侵 检测 系统 还 提供 良好 的 用 户 界面 ， 以 及 运行 状态 的 监控 界面 和 接口 。 入 
侵 检测 系统 使 用 的 检测 方法 可 以 分 为 两 类 : 基于 特征 码 的 检测 方法 和 异常 检测 。 使 用 基于 
特征 码 检 测 方法 的 系统 主要 从 所 搜集 的 数据 中 发 现 已 知 的 攻击 特征 , 例如 , 某 些 URL 中 包 
含 的 一 些 怪异 的 Unicode 编码 字符 就 是 针对 IIS Unicode 缺陷 的 攻击 特征 。 通 过 各 种 模式 匹 
配 技术 的 应 用 ， 可 以 进一步 提高 基于 特征 码 检测 方法 的 精确 性 。 
使 用 异常 检测 的 系统 能 够 把 获得 的 数据 与 一 个 基准 进行 比较 ， 以 检测 这 些 数据 是 否 异 
。 例 如 ， 如 果 某 个 用 户 的 工作 时 间 是 上 午 9 点 到 下 午 5 点 ， 但 是 在 某 个 晚上 他 却 登 录 了 
司 的 某 台 服 务 器 ， 这 就 属于 一 个 异常 事件 ， 需 要 进一步 深入 分 析 。 目 前 ， 有 大 量 的 统计 
学 方法 可 以 用 于 检测 数据 是 否 异 常 。 


常 
公 
a 


10.2” ”Snort 的 安装 与 使 用 


Snort 是 Linux 平台 上 最 常用 的 遵循 GNU GPL 的 入 侵 检 测 系统 ， 同 时 它 还 是 一 个 非常 
优秀 的 数据 包 抓 取 工具 。 本 节 将 介绍 Snort 的 功能 特点 ，Snort 软件 的 获取 、 安 装 与 运行 ， 
snort 命令 的 格式 以 及 Snort 作为 抓 包工 具 时 的 使 用 方法 等 内 容 。 


10.2.1 Snort 简介 


Snort 是 一 种 开放 源 代码 、 免 费 、 跨 平台 的 网 络 入 侵 保 护 和 检测 系统 。 它 使 用 了 一 种 规 
则 驱动 的 语言 ， 支 持 各 种 形式 的 插件 、 扩 充 和 定制 ， 具 有 实时 数据 流量 分 析 、 对 IP 网 络 数 
据 包 进行 日 志 记录 以 及 对 入 侵 进行 探测 的 功能 。 上 具体 来 说 ，snort 具有 以 下 一 些 功能 特点 。 
口 实时 通信 分 析 和 网 络 数据 包 记录 ; 
检查 包装 的 有 效 载 荷 ; 
对 数据 包 的 协议 进行 分 析 ， 并 对 内 容 进 行 查询 匹配 ; 
可 以 检测 端口 扫描 、 缓 冲 区 溢出 、CGI 攻击 、SMB 探测 等 许多 入 侵 尝 试 
报警 的 方式 可 以 是 系统 日 志 、 指 定 文件 .UNIX socket 或 通过 Samba 到 其 他 操作 系 
统 平台 。 
虽然 Snort 的 功能 非常 强大 ， 但 其 代码 非常 简洁 ， 可 移植 性 非常 好 。 迄 今 为 止 数 百 万 
的 下 载 量 使 得 Snort 成 为 使 用 最 为 广泛 的 入 侵 保护 和 检测 系统 ， 并 且 成 为 了 事实 上 的 行业 
标准 。 


10.2.2 Snort 的 安装 与 运行 


Snort 是 一 种 开放 源 代码 的 软件 , 可 以 从 其 主页 http://www.snort.org 下 载 源 代码 进行 编 
译 安装 , 目前 最 新 的 开发 版 本 是 2.9.3.1 版 .另外 ,在 其 主页 的 下 载 页 面 中 还 提供 了 ForRHEL 
6 的 RPM 软件 包 ， 其 文件 名 是 snort-2.9.3.1-1.RHEL6.i386.rpm。 把 该 文件 下 载 到 当前 目录 
后 ， 可 以 通过 以 下 命令 进行 安装 (这 里 有 daq 和 libdnet 两 个 依赖 包 需 要 先 安装 ， 然 后 再 安 


口 
口 
口 
口 
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装 snort)。 
# rpm -ivh snort-2.9.3.1-1.RHEL6.i386.rpm 
Preparing... 排 非 提 提 提 提 并 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 间 提 提 提 间 提 提 间 提 提 提 提 提 井 井 # 井 [1OOSS] 
1:snort 排 非 提 提 提 提 提 提 提 提 并非 提 并 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 间 提 提 间 提 提 提 间 提 提 提 ## [OOSS] 
# 


Snort 软件 包 安 装 完成 后 ， 在 系统 中 将 会 出 现 以 下 一 些 主要 文件 。 


DOOOOOODO 


/etc/logrotate.d/snort: 有 关 Snort 日 志 转 储 功能 的 配置 。 
/etc/re.d/init.d/snortd: 以 守护 进程 运行 Snort 时 的 启动 脚本 。 
/etc/snort: 存放 Snort 各 种 配置 文件 的 目录 。 

/etc/snort/rules: 存放 Snort 规则 的 目录 。 
/etc/sysconfig/snort: 设置 环境 变量 的 脚本 。 
/usr/sbin/snort-plain: Snort 程序 文件 。 
/usr/share/doc/snort-2.9.3.1: 存放 说 明文 档 的 目录 。 
/var/log/snort: Snort 日 志文 件 。 


除 此 之 外 ,在 /usr/sbin 目录 下 还 有 一 个 名 为 Snort 的 符号 链接 文件 。 如 果 链 接 到 /usr/sbin/ 
snort-plain 文件 ， 则 以 后 执行 snort 命令 时 ， 实 际 上 真正 执行 的 是 /usr/sbin/snort-plain 文件 。 
除了 命令 方式 外 ， 还 可 以 输入 以 下 命令 使 Snort 以 守护 进程 的 方式 执行 。 


# /etc/rc.d/init.d/snortd start 


全 说 明 : 安装 Snort 时 会 自动 创建 一 个 名 为 snort 的 用 户 ， 用 于 执行 Snort 守护 进程 。 


10.2.3 ”Snort 命令 的 格式 


Snort 有 3 种 工作 模式 : 噢 探 器 、 数 据 包 记录 器 和 网 络 入 侵 检 测 系统 。Snort 工作 在 嗅 
探 器 模式 时 相当 于 一 个 抓 包 软 件 , 仅仅 是 从 网 络 上 读 取 数 据 包 并 连续 不 断 地 显示 在 终端 上 。 
当 工 作 在 数据 包 记录 器 模式 时 ，Snort 把 数据 包 记录 到 磁盘 中 。 网 络 入 侵 检测 模式 是 最 复杂 
的 。 用 户 可 以 通过 配置 让 Snort 分 析 网 络 数据 包 ， 并 与 用 户 定义 的 一 些 规则 进行 匹配 。 然 
后 根据 检测 结果 采取 一 定 的 动作 。Snort 命令 的 格式 如 下 : 


snort [-options] <filter options> 


options 是 Snort 命令 执行 时 的 一 些 选 项 ， 主 要 有 以 下 一 些 。 


口 


OOODOCDOD 


a 


-A < 警报 模式 >: 设置 警报 模式 ， 警 报 模式 可 以 是 full、fast、unsock 和 none。full 
是 默认 模式 ， 它 以 完整 的 格式 把 警报 记录 到 警报 文件 中 ，fast 模式 只 记录 时 间 戳 、 
消息 、IP 地 址 、 端 口 到 警报 文件 中 ; unsock 模式 把 警报 发 送 到 Unix Socket; none 
-b: 以 tcpdump 格式 记录 数据 包 到 日 志 ， 速 度 相对 较 快 。 

-c < 文件 >: 指定 存放 规则 的 配置 文件 。 

-C: 以 ASCII 码 来 显示 数据 报 文 ， 不 使 用 十 六 进 制 。 

-d: 分 析 应 用 层 数 据 并 显示 。 

-D: 以 守护 进程 的 形式 运行 Snort， 默 认 情 况 下 警报 将 被 发 送 到 /varlog/snortalert 
汪汪 


DoOOOOOOOOOOOOODO DO 
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-e: 显示 或 记录 数据 链 路 层 头 部 的 数据 。 

-F < 文件 >: 从 文件 中 读 BPF 过 滤器 ， 而 不 是 在 命令 行 中 指定 。 

-g < 用 户 组 >: Snort 初始 化 完成 后 以 指定 的 用 户 组 身份 运行 , 主要 是 为 了 安全 考虑 。 
-h <home-net>: 设置 本 地 网 络 ， 以 192.168.1.0/24 的 形式 表示 。 
-i< 网 络 接口 >: 在 指定 的 网 络 接口 上 监听 。 

-I: 在 警报 中 包含 网 络 接口 名 。 

-1< 目 录 名 >: 指定 日 志 信 息 的 存放 目录 。 

-L< 文 件 >: 指定 二 进 制 日 志 的 文件 名 。 

-n <n>: 指定 处 理 n 个 数据 包 后 退出 。 

-P<n>: 设置 Snort 抓 包 时 的 截断 长 度 为 n。 

-s: 把 警报 记录 到 系统 日 志 ， 在 Linux 中 使 用 /var/log/secure 文件 。 

-S < 变量 = 值 >: 设置 某 一 变量 的 值 ， 被 规则 文件 使 用 。 

-T: 进入 自 检 模 式 ，Snort 将 检查 所 有 的 命令 行 和 规则 文件 是 否 正 确 。 

-u < 用 户 >: Snort 初始 化 完成 后 以 指定 的 用 户 身 份 运行 ， 主 要 是 为 安全 考虑 。 
-Vv: 工作 于 元 余 模式 ， 把 数据 包 打 印 到 屏幕 ， 会 使 处 理 速度 变 慢 。 

-?: 显示 Snort 简要 的 使 用 说 明 并 退出 。 


filter options 是 以 BPF 规则 书写 的 过 滤 字 符 串 , 使 Snort 只 处 理 符合 规则 的 数据 包 ， 下 


面 是 儿 个 简单 的 过 滤 例 子 。 


host 10.10.1.20 


全 说 明 : 表示 源 地 址 或 目的 地 址 包含 10.10.1.20 的 数据 包 ， 即 与 主机 10.10.1.20 通信 的 数 


据 包 。 


src net 10.10.1.0/24 and udp dst port 53 


全 说 明 : 表示 来 自 子 网 10.10.1.0/24， 目 的 端口 号 是 53 的 UDP 数据 包 。 


ether host 11:22:33:44:55:66 and greater 512 


从 说明 : 表示 与 MAC 地 址 11:22:33:44:55:66 通信 、 并 且 数据 包 长 度 大 于 等 于 512 字 节 的 


数据 包 。 


以 上 是 几 个 BPF 过 滤 规 则 的 简单 例子 ， 所 有 的 BPF 规则 及 使 用 方法 可 参见 相关 书籍 。 


10.2.4 用 Snort 抓 取 数 据 包 


除了 使 用 Snort 作为 入 侵 检测 工具 外 ，Snort 还 具有 强大 的 数据 包 抓 取 功能 ， 可 以 作为 


数据 包 分 析 工 具 使 用 。 在 snort 命令 格式 中 ， 如 果 不 使 用 -c 选项 指定 规则 文件 ， 则 Snort 将 
简单 地 从 网 络 抓 取 数据 包 ， 在 屏幕 上 显示 或 保存 到 文件 中 。 下 面 是 儿 个 Snort 命令 抓 取 数 
据 包 的 例子 。 


[root@localhost ~]# snort -v 
Snort BPF option: 
Running in packet dump mode 
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--== Initializing Snort ==-- 
--== Initialization Complete ==-- 
Not Using PCAP FRAMES 


“snort -v” 命 令 表示 让 Snort 以 默认 的 方式 抓 取 数据 包 ， 并 把 数据 包 的 内 容 显示 到 屏幕 
上 。 命 令 执 行 后 ， 将 做 一 些 初始 化 的 工作 ， 并 出 现 一 些 工 作 状 态 的 提示 ， 然 后 就 处 于 停顿 
状态 ， 等 待 数据 包 的 到 来 。 如 果 此 时 某 一 网 络 接口 到 达 或 发 送 了 一 个 数据 包 ， 则 数据 包 的 
内 容 将 显示 出 来 。 下 面 是 一 个 ICMP 查询 和 一 个 ICMP 回复 数据 包 的 例子 显示 内 容 。 

01/20=11:56:;42.904934 10.10.1.253. => 10.10:1.29 

ICMP TTL:64 TOS:0x0 ID:0 IpLen:20 DgmLen:84 DF 


Type:8 Code:0 ID:6189 Seq:l1 ECHO 
二 二 = 十 = 二 = 二 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 二 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 十 = 二 二 


01/20-11:56:42.905564 10.10.1.29 -> 10.10.1.253 

ICMP TTL:64 TOS:0x0 ID:20660 IpLen:20 DgmLen:84 

Type:0 Code:0 ID:6189 Seq:l1 ECHO REPLY 
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+= 


以 上 显示 中 ,每 个 数据 包 的 第 一 行 显示 的 是 时 间 蕉 和 源 、 目 的 了 P 地 址 。 第 二 行 和 第 三 
行 显示 了 数据 包 所 包含 的 标志 位 的 值 及 含义 。 默认 情况 下 , Snort 只 显示 ICMP、UDP、TCP 
等 数据 包 的 包头 。 如 果 希 望 应 用 层 的 数据 也 显示 出 来 ， 可 以 增加 一 个 -d 选项 。 下 面 是 显示 
应 用 层 数据 后 的 一 个 数据 包 例 子 。 

U20= T2131 133230 100 1 29822 > OO 253 A9130 

TCP TTL:64 TOS:0x0 ID:2069 IpLen:20 DgmLen:72 DF 

六 六 *AP*** Seq: OxA8D6C43B Ack: 0x59CD3D97 Win: 0x2E TcpLen: 32 

TCP Options (3) => NOP NOP TS: 336120889 1711261917 


53 .53 48 2D° 32 2E 30.2D. 4F 70 65 6E 53. 53 48 SF ,SSH=2.0=OpenSSR 
34 2E 33 '0A 3. 


一 十 = 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 


由 以 上 显示 可 以 看 出 ，Snort 列 出 TCP 包头 及 附加 选项 后 ， 接 着 再 分 别 以 十 六 进 制 和 
ASCIL 的 形式 显示 收 到 的 应 用 层 数据 。 如 果 还 希望 nort 显示 数据 包 的 MAC 地 址 ,可 以 再 
加 一 个 -e 选项 ， 此 时 收 到 的 数据 包 显示 形式 如 下 : 

01/20-12:33:30.260603 0:0:E8:95:4B:5C -> 0:C:29:9E:C5:AA type:0x800 

len:0x62 

10.10.1.253 -> 10.10.1.29 ICMP TTL:64 TOS:0x0 ID:0 IpLen:20 DgmLen:84 DF 

Type:8 Code:0 ID:39470 Seq:1 ECHO 

OE 52° 75 9 .00 34 07 .00.08 O09 ON 0B OC OD OE OF sRuls A 

1 hi Bh 0 i pe Hi Th EP eb :es 1 1 下 本 全 放 

20 :2 22 23.24 25° 26 .27 .28 29 2A .2B 2C 2D.2E 28 In#$%SE" ()#+,—./ 

3003L 32 33°34 35 36..37 01234567 


一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 

与 前 面 的 显示 相 比 ， 以 上 显示 多 出 了 “0:0:E8:95:4B:5C -> 0:C:29:9E:C5:AA type:0x800 
len:0x62” 一行 ， 它 是 以 太 数 据 帧 的 头 部 , 包含 了 数据 包 的 源 MAC 地 址 和 目的 MAC 地 址 、 
上 层 协 议 类 型 和 数据 帧 长 度 信息 。 

以 上 例子 中 ，Snort 实际 上 是 工作 在 嗅 探 器 方式 ， 是 在 屏幕 上 显示 数据 包 。Snort 还 有 


< 
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一 种 记录 数据 包 的 方法 是 把 数据 包 保存 到 磁盘 文件 中 ， 以 供 以 后 分 析 时 使 用 。 为 了 明确 数 
据 包 存放 在 哪个 位 置 ， 需 要 用 -1 选项 指定 一 个 目录 位 置 ， 命 令 如 下 : 


# snort -dve -b -1 /var/log/snort 


以 上 命令 中 ，-1 选项 指定 了 存放 数据 包 的 日 录 是 /var/log/snort， 文 件 名 由 Snort 自己 命 
名 。-b 选项 指定 存储 数据 包 时 ， 采 用 tcpdump 的 二 进 制 格 式 。 另 外 ， 前 面 用 过 的 -vde 选项 
现在 还 在 ， 表 示 除 了 把 数据 包 存 储 在 文件 中 外 ， 屏 幕 上 也 显示 抓 到 的 数据 包 。 可 以 用 以 下 
命令 查看 一 下 /varlog/snort 目录 中 的 文件 。 


# 1s /var/log/snort 

snort.1og.1232432898 snort.1og.1232433452 snort.1og.1232434667 

snort.1og.1232432911 snort.1og.1232433661 

snort.1og.1232433345 snort.1og.1232434388 

上 面 列 出 的 这 些 文件 都 存放 了 Snort 抓 到 的 数据 包 , 文件 名 是 由 Snort 决定 的 。 数 据 包 
在 文件 中 存放 时 ， 采 用 的 是 二 进 制 格式 。 其 目的 是 为 了 加 快 存储 速度 ， 以 免 主 机 因为 来 不 
及 处 理 而 出 现 丢 包 现象 。 为 了 事后 查看 这 些 数据 包 的 内 容 ， 可 以 使 用 以 下 命令 : 


# snort -dv -r /var/log/snort/snort.10g.1232432898 


以 上 命令 将 在 屏幕 上 列 出 snort.log.1232432898 文件 中 包含 的 数据 包 ， 格 式 选项 为 -dv， 
也 可 以 自由 指定 其 他 格式 。 此 外 ， 这 些 数据 还 可 以 供 其 他 数据 包 分 析 工 具 使 用 ， 也 可 以 使 
用 Snort 规则 检测 这 些 数据 包 是 否 包含 了 入 侵 模式 。 


全 说 明 : 虽然 Snort 可 以 同时 在 屏幕 和 文件 中 显示 或 存储 数据 包 ， 但 显示 或 存放 时 的 内 容 
却 是 独立 的 。 也 就 是 说 ， 数 据 包 包含 的 全 部 信息 在 文件 中 都 要 存放 ， 但 屏幕 上 显 
示 的 信息 是 由 选项 决定 的 。 如 果 只 希望 在 文件 中 记录 数据 包 ， 而 不 需要 在 屏幕 中 
显示 数据 包 ， 可 以 使 用 以 下 命令 。 


# snort -b -1 /var/log/snort 


以 上 是 Snort 作为 抓 包工 具 时 的 使 用 方法 ， 相 对 来 说 比较 简单 。10.3 节 将 介绍 Snort 
的 主要 的 入 侵 检测 功能 。 


10.3 配置 Snort 


Snort 最 主要 的 功能 是 对 入 侵 进行 检测 。 其 工作 方式 是 对 抓 取 的 数据 包 进 行 分 析 后 ,与 
特定 的 规则 模式 进行 匹配 。 如 果 能 匹配 ， 则 认为 发 生 了 入 侵 事件 。 此 时 ， 执 行 snort 命令 
时 需要 用 -c 选项 指定 入 侵 检 测 时 所 使 用 的 配置 文件 。 当 默认 安装 Snort 时 ， 已 经 在 /etc/snort 
目录 提供 了 一 个 例子 配置 文件 ， 其 文件 名 是 snort.conf。 本 节 主 要 以 该 文件 的 内 容 为 中 心 ， 
介绍 Snort 的 配置 方法 。 


10.3.1 定义 Snort 变量 


/etc/snort/snort.conf 文件 是 Snort 命令 运行 时 的 主 配置 文件 。 为 了 使 用 的 方 使 ， 用 户 可 
以 在 其 中 定义 许多 变量 ， 以 便 以 后 在 其 他 位 置 进行 引用 。 另 外 ，Snort 系统 本 身 也 使 用 某 些 


ss 
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名 称 的 变量 ， 用 户 赋予 的 值 将 影响 Snort 的 工作 状态 。 变 量 的 值 一 般 是 文件 系统 中 的 路 径 、 
IP 地 址 、 端 口号 等 。 定 义 一 个 变量 并 对 其 赋值 的 形式 如 下 : 

var < 变量 名 > < 变量 值 > 

例如 ， 下 面 的 配置 定义 一 个 名 为 MY_NET 的 变量 。 

var MY NET 10.10.1.0/24 

为 了 阅读 的 方便 ， 在 Snort 中 习惯 以 大 写字 母 作 为 变量 名 。 当 定义 变量 并 赋值 后 ， 就 
可 以 在 配置 文件 的 其 他 位 置 引 用 该 变量 了 ， 其 形式 是 “$ 变 量 名 ”。 下 面 的 语句 引用 了 上 面 
定义 的 MY_NET 变量 。 

Alert tcp any any -> $MY NET any (flags:S; msg:"SYN packet";) 

Snort 在 配置 文件 中 处 理 以 上 语句 时 ， 将 用 10.10.1.0/24 代替 $SMY_NET。 还 有 两 种 引 
用 变量 的 形式 ， 一 种 是 “$(var:-default)”， 表示 如 果 var 没有 定义 ， 则 使 用 default 值 代替 
var。 男 一 种 形式 是 “$(var:?message)”， 表示 如 果 var 没有 定义 ， 则 输出 message， 例 如 : 

1og tcp any any -> $(MY NET:?MY NET is undefined!) 23 

以 上 是 通用 的 变量 定义 。 由 于 经 常 要 使 用 卫 地 址 作为 变量 内 容 , Snort 还 用 关键 字 ipvar 
来 定义 表示 IP 地 址 的 变量 ， 并 且 给 予 了 更 灵活 的 赋值 形式 。 例 如 ， 给 ipvar 变量 赋值 时 ， 
可 以 是 单个 IP 地 址 、IP 地 址 列表 、CIDR 形式 的 地 址 块 ， 以 及 它们 的 组 合 。 下 面 是 一 个 定 
义 ipvar 类 型 的 变量 的 例子 。 


ipvar EXAMPLE [1.1,.1.1;2.2,2.0/24;!1[2.2.2.2;2.2.2.3]] 


以 上 定义 中 ，EXAMPLE 表示 IP 是 1.1.1.1， 以 及 在 2.2.2.0/24 网 段 ， 但 不 是 2.2.2.2 和 
2.2.2.3 的 耻 地 址 。 表 示 ipvar 变量 的 值 时 ，IP 地 址 列表 和 CIDR 地 址 块 应 该 用 方 括号 括 起 
来 。 另 外 ,“!” 表 示 取 反 ， 也 可 以 用 any 表示 所 有 的 IP 地 址 。 

除了 ipvar 以 外 ，Snort 还 用 portvar 来 定义 表示 端口 的 变量 ， 此 时 ， 变 量 可 以 表示 一 个 
端口 、 端 口 列表 或 端口 范围 。 表 示 端 口 列表 时 ， 端 口 值 用 “,” 分 隔 ， 并 用 方 括号 围 起 来 。 
表示 端口 范围 时 ， 端 口 值 由 “:” 分 隔 。 此 外 ， 还 可 以 用 “!?” 或 any 表示 取 反 或 任何 端口 。 
下 面 是 一 个 定义 端口 变量 的 例子 。 

Portvar PORT1 [80:90,888:900,8080] 


以 上 portvar 定义 的 PORT1 变量 表示 端口 号 80 一 90、888 一 900， 以 及 8080 端口 。 

在 初始 的 /etc/snort/snort.conf 文件 中 ， 定 义 了 几 个 重要 的 变量 。 其 中 ，HOME NET 变 
量 用 于 表示 主机 所 在 的 子 网 ，EXTERNAL NET 表示 与 HOME NET 相对 应 的 外 网 。 默 认 
时 ， 它 们 的 值 都 是 any， 如 下 所 示 。 


Var HOME NET any 
var EXTERNAL NET any 
各 说 明 : 一 般 情 况 下 ， 应 该 把 HOME NET 定义 成 主机 网 卡 所 在 的 网 段 ， 如 10.10.1.0/24 
这 样 的 形式 。 也 可 以 用 以 下 形式 进行 定义 。 
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Var HOME NET $eth0 ADDRESS 


eth0_ADDRESS 是 系统 内 置 的 一 个 变量 ， 表 示 网 络 接口 eth0 的 地 址 。 

snort.conf 文件 中 还 定义 了 DNS_SERVERS、SMTP_SERVERS、HTTP_SERVERS、SQL_ 
SERVERS、TELNET_SERVERS、SNMP_SERVERS 等 变量 , 它们 的 值 都 等 于 $HOME_NET。 
还 有 几 个 用 portvar 定义 的 端口 变量 ， 定 义 形式 如 下 所 示 。 

portvar HTTP PORTS 80 


portvar SHELLCODE PORTS !80 
portvar ORACLE PORTS 1521 


还 有 两 个 定义 规则 路 径 的 变量 : 


var RULE PATH /etc/snort/rules 
Var PREPROC RULE PATH ../preproc rules 


以 上 列 出 的 变量 在 以 后 编写 Snort 规则 都 要 用 到 ， 因 此 事先 进行 声明 、 赋 值 ， 以 方便 
用 户 修改 。 
10.3.2 配置 Snort 选项 

当 执 行 Snort 命令 时 ， 可 以 通过 指定 命令 行 选项 使 Snort 工作 于 不 同 的 状态 。 实 际 上 ， 
很 多 的 命令 行 选项 都 可 以 在 snort.conf 文件 中 进行 配置 。 于 是 ， 就 不 需要 在 snort 命令 行 中 
指定 了 。 除 了 命令 行 选项 外 ， 在 snort.conf 文件 中 还 可 以 指定 其 他 一 些 不 能 在 命令 行 中 使 
用 的 选项 。 配 置 Snort 选项 的 格式 如 下 : 

config <directive> [: <value>] 

以 上 格式 中 ，config 是 关键 字 ，directive 表示 选项 的 名 称 ，value 表示 选项 的 值 。 选 项 
名 称 和 值 之 间 用 “:” 分 隔 ,“:” 紧 跟 在 选项 后 面 ， 但 和 值 之 问 需要 有 空格 。 有 些 选 项 可 能 
没有 值 ， 此 时 ,“:” 也 要 省 略 。 例如 ， 下 面 一 行 代码 配置 了 选项 alertfile 的 值 是 alerts 。 


config alertfile: alerts 
以 上 配置 指定 了 放置 Snort 警报 的 文件 名 称 是 alerts。 

名 注意: 如 果 希 望 Snort 警报 输出 时 附加 上 网 络 接口 名 称 ， 可 以 用 以 下 指令 进行 配置 。 
config alert with interface name 


下 面 再 列 出 几 个 也 可 以 用 snort 命令 选项 指定 的 配置 。 

配置 1: 

config bpf file: filters.bpf 

功能 : 设置 BPF 数据 包 过 滤 规 则 文件 名 称 ， 与 Snort 命令 的 -F 选项 作用 相同 。 
配置 2: 


config chroot: /home/snort 


功能 : 设置 /home/snort 目录 为 Snort 的 虚拟 根 日 录 ， 与 snort 命令 的 -t 选项 作用 相同 。 
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配置 3: 

config daemon 

功能 : 以 后 台 进 程 方式 运行 Snort， 与 Snort 命令 的 -D 选项 作用 相同 。 

在 初始 的 snort.conf 文件 中 ， 还 列 出 了 一 些 有 关 Snort 数据 包 解 码 器 的 配置 ， 但 这 些 配 
置 已 经 被 注释 ， 并 未 生效 ， 用 户 可 以 根据 需要 使 之 生效 。 下 面 对 这 些 配置 进行 解释 。 

配置 4: 

# config disable decode _ alerts 

功能 : 关闭 解码 器 的 警报 功能 ， 即 发 现 入 侵 时 也 不 进行 警报 。 

配置 5: 

# config disable tcpopt experimental alerts 

功能 : 关闭 解码 器 对 TCP 实验 选项 的 警报 。 

配置 6: 

# config disable tcpopt obsolete alerts 

功能 :关闭 解码 器 对 TCP 过 时 选项 的 警报 。 

配置 7: 

# config disable tcpopt ttcp alerts 

功能 : 关闭 解码 器 对 TTCP 选项 的 警报 。 

配置 8: 

# config disable tcpopt alerts 

功能 :关闭 解码 器 对 所 有 其 他 TCP 选项 的 警报 。 

配置 9: 

# config disable ipopt alerts 

功能 : 关闭 解码 器 对 所 有 无 效 卫 选项 的 警报 。 

配置 10: 

# config enable decode oversized alerts 

功能 : 如 果 IP、TCP 或 UDP 数据 包 的 长 度 域 比 Snort 实际 收 到 的 数据 包 长 度 要 大 ， 则 

配置 11: 

# config enable decode oversized drops 

功能 : 如 果 IP、TCP 或 UDP 数据 包 的 长 度 域 比 Snort 实际 收 到 的 数据 包 长度 要 大 ,并 
且 Snort 工作 在 内 嵌 模 式 ， 则 丢弃 该 数据 包 。 这 个 选项 需要 enable_decode _oversized_ alerts 
启用 才能 生效 。 

配置 12: 


# config detection: search-method lowmem 
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功能 : 配置 入 侵 检测 引擎 的 字符 串 搜 索 模 式 ，lowmem 表示 Snort 工作 在 内 存 少 、 性 能 
很 差 的 主机 上 。 如 果 主 机 性 能 较 好 ， 可 以 使 用 ac、ac-std、ac-bnfa 等 值 。 
配置 13: 


# config layer2resets: 00:06:76:DD:5F:E3 


功能 : 当 Snort 工作 于 内 和 峰 模 式 时 使 用 ， 表 示 指 定 的 源 MAC 地 址 的 数据 包 可 以 做 
RESET 操作 。 
可 以 配置 的 Snort 选项 还 有 很 多 ， 具 体内 容 可 以 参见 Snort 的 用 户 手册 。 


10.3.3 配置 Snort 预 处 理 模 块 


预 处 理 程序 从 1.5 版 的 Snort 开始 引入 。 它 使 用 户 和 程序 员 能 够 将 模块 化 的 插件 方便 地 
集成 到 Snort 中 , 使 Snort 的 功能 非常 容易 地 得 到 扩展 。 预 处 理 程序 代码 在 数据 包 解码 之 后 ， 
在 入 侵 检测 引擎 被 调用 之 前 运行 。 这 样 ， 数 据 包 就 可 以 通过 额外 的 方法 被 分 析 或 修改 。 
在 snort.conf 文件 中 ， 可 以 使 用 preprocessor 关键 字 加 载 和 配置 预 处 理 程序 ， 其 格式 如 下 : 


preprocessor <name>: <options> 


以 上 格式 中 ，name 是 预 处 理 模 块 的 名 称 ，options 是 预 处 理 模 块 运行 时 所 需要 的 一 些 
参数 。 在 初始 的 snort.conf 文件 中 ， 已 经 定义 并 启用 了 许多 内 置 的 预 处 理 模块 。 下 面 将 对 
部 分 模块 及 其 配置 指令 作 一 下 解释 。 


1. Frag3 模块 


Frag3 是 一 个 基于 目标 进行 分 析 的 IP 碎片 重组 预 处 理 模块 ， 它 将 取代 Snort 以 前 版 本 
中 使 用 的 Frag2 模块 。Frag3 的 处 理 速 度 比 Frag2 要 快 ， 但 配置 也 相对 复杂 。 在 Frag3 中 ， 
至 少 需要 两 条 指令 。 一 条 是 全 局 配置 指令 ， 另 一 条 是 对 引擎 进行 实例 化 的 指令 。 下 面 是 初 
始 snort.conf 中 关于 Frag3 的 配置 : 

preprocessor frag3 global: max frags 65536 

Preprocessor frag3_engine: Policy first detect anomalies 

以 上 配置 指令 中 ， 前 面 的 那 条 指令 是 Frag3 的 全 局 配置 。max_frags 指定 最 大 可 以 同时 
跟踪 的 碎片 数 ， 默 认为 8192， 此 处 指定 为 65536。 此 外 ， 还 可 以 用 memcap 指定 内 存 消耗 
的 最 大 值 ， 用 prealloc_frags 指定 为 多 少 碎片 预 分 配 内 存 。 

后 面 的 那 条 指令 是 对 Frag3 引擎 进行 实例 化 的 配置 指令 。policy 参数 指定 first 为 基于 
主机 的 碎片 重组 模式 。detect_anomalies 指定 对 碎片 进行 异常 检测 。 此 外 还 可 以 用 timeout 
指定 没有 重组 的 碎片 将 被 丢弃 的 时 间 长 度 、bind to 指定 只 对 某 一 目的 地 址 的 卫 碎片 进行 
重组 等 。 

2. HTTP Inspect 模块 


HTTP Inspect 是 一 种 通用 的 HTTP 解码 器 。 它 可 以 对 给 定 的 数据 缓冲 区 中 的 数据 进行 
分 析 ， 找 到 HTTP 的 各 种 头 域 ， 并 进行 标准 化 。HTTP Inspect 既 可 以 对 客户 端的 HTTP 请 
求 进行 分 析 ， 也 可 以 对 服务 器 的 应 答 进 行 分 析 。 
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全 说 明 : 目前 HTTP Inspect 还 只 能 进行 无 状态 的 处 理 。 也 就 是 说 ， 它 只 是 在 一 个 独立 的 包 
中 查找 HTTP 头 域 。 如 果菜 些 包 是 分 割 开 的 ,在 没有 重组 前 HTTP Inspect 将 得 到 
不 正确 的 结果 。 如 果 有 另外 的 模块 在 HTTP Inspect 工作 前 对 包 进 行 重组 , 将 可 以 
解决 这 个 问题 。 


HTTP Inspect 为 用 户 提供 非常 丰富 的 配置 内 容 。 它 的 配置 分 为 两 种 , 一 种 是 全 局 配置 ， 
决定 了 HTTP Inspect 总 的 工作 状态 ， 只 能 有 一 条 配置 指令 ; 另 一 种 是 针对 单个 HTTP 服务 
器 的 配置 ， 它 可 以 为 某 种 Web 服务 器 指定 特定 的 选项 ， 可 以 有 多 个 配置 。HTTP Inspect 全 
局 配置 的 格式 如 下 : 


http inspect: global iis unicode map <map filename> codemap <n> [detect 

anomalous_ servers] [proxy alert] 

以 上 格式 中 ，iis_unicode_map 指定 使 用 哪 一 个 Unicode 代码 文件 ， 而 codemap 指定 了 
使 用 Unicode 代码 文件 中 的 哪 种 编号 的 代码 页 。detect_anomalous_servers 表示 对 非 HTTP 
端口 的 HTTP 数据 进行 分 析 。proxy_alert 表示 对 使 用 代理 的 HTTP 服务 器 进行 报警 。 在 初 
始 的 snort 文件 中 ， 使 用 了 以 下 HTTP Inspect 全 局 配置 。 


Preprocessor httP_inspect: global iis unicode map unicode.map 1252 


在 /etc/snort 目录 中 ， 有 一 个 文件 unicode.map， 里 面包 含 了 很 多 Unicode 代码 页 ， 其 一 
个 代码 页 的 编号 是 1252。HTTP Inspect 服务 器 配置 的 格式 如 下 : 

Preprocessor http inspect server: server [ default | IP ] profile [ all | 

apache, | itis ll DOrte mh 

server 参数 指定 Web 服务 器 范围 , 如 果 是 default, 表示 对 所 有 的 Web 服务 器 进行 检测 ; 
如 果 是 某 IP 地 址 或 IP 地 址 范围 ， 则 只 对 指定 范围 的 Web 服务 器 进行 检测 。profile 指定 了 
Web 服务 器 的 类 型 ，all 表示 所 有 的 类 型 ， 也 可 以 是 apache 或 is。 每 一 种 服务 器 类 型 都 有 
自己 的 一 套 配 置 参数 ， 可 以 根据 需要 进行 配置 。ports 表示 对 哪些 端口 进行 检测 。 下 面 是 初 
始 snort.conf 文件 中 有 关 HTTP Inspect 服务 器 的 配置 。 

Preprocessor http inspect server: server default profile all Ports { 80 8080 

8180 } oversize dir length 500 

oversize_dir_length 指定 URL 中 最 大 的 目录 名 的 字符 长 度 ， 如 果 超 过 ， 将 会 报警 。 

有 关 HTTP Inspect 配置 的 内 容 还 非常 多 ， 限 于 篇 幅 ， 不 再 袭 述 ， 如 果 想 进一步 了 解 ， 
可 参考 Snort 的 用 户 手 册 。 


3. SMTP 解码 器 


SMTP 预 处 理 模 块 是 对 用 户 的 应 用 进行 SMTP 解码 的 解码 器 。 给 定 一 个 数据 缓冲 
SMTP 解码 器 将 对 其 中 的 数据 进行 分 析 ， 找 到 SMTP 命令 和 应 答 。SMTP 解码 器 还 能 
命令 、 数 据 头 、 数 据 体 ， 以 及 TLS 数据 。 

除了 无 状态 处 理 外 ，SMTP 解码 器 也 能 进行 有 状态 的 处 理 。 它 可 以 保存 单个 数据 包 的 
状态 ,以 便 与 其 他 数据 包 进 行 关 联 。 但 是 , 这 种 有 状态 处 理 依赖 于 客户 端 数据 流 的 重 装 配 。 
如 果 数 据 流 的 某 些 部 分 在 传输 过 程 中 丢失 了 ， 则 状态 将 不 能 维持 。 另 外 ， 为 了 提高 性 能 ， 
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可 以 忽略 TLS 加 密 数 据 、 普 通 的 邮件 数据 等 内 容 ， 因 为 针对 邮件 数据 的 攻击 很 少 。SMTP 
解码 器 的 配置 参数 如 下 所 示 。 


preprocessor smtp: \ 
ports 1 <port> [<port>]e -ON 
# 对 哪些 端口 进行 SMTP 检查 。 默 认 是 25, 对 加 密 SMTP 来 说 是 465 
inspection type <stateful | stateless> \ # 工作 在 有 状态 还 是 无 状态 模式 
normalize <all | none | cmds> \ 


# 是 否 开启 规范 化 检查 功能 , 即 是 否 检查 命令 后 超过 一 个 以 上 的 空格 字符 


ignore data \ # 处 理 规则 时 ,忽略 邮件 正文 
ignore tls data \ # 处 理 规则 时 ,忽略 TLS 加 密 的 数据 

max command line len <int> \ # 最 大 的 命令 行 长 度 ,超过 后 即 报警 

max header line len <int> \ # 最 大 SMTP DATA 头 的 长 度 , 超 过 后 即 报警 


max_response line len <int> \ # 最 大 的 应 答 行 长 度 , 超过 后 即 报警 
alt_max_command line len <int> { <cmd> [<cmd>] } \ 

# 指定 部 分 命令 行 的 最 大 长 度 , 要 履 盖 max_command_line_len 的 设置 
no_alerts \ # 关 闭 所 有 的 报警 功能 


invalid 4 cmds { <Space-delimited list of commands> } 


# 了 的 将 报警 
valid cmds { <Space-delimited list of commands> } 
# 采 认 要 中 的 从 信 是 合法 的 ， 不 报警 
alert unknown cmds \ # 对 未 知 的 命令 进行 报警 。 
normalize_cmds { <Space-delimited list of commands> } \ 
# 实行 规范 化 检查 的 命令 
xlink2state { enable | disable [drop] } \\ 
# 是 否 激活 xlink2state 报警 ,默认 是 enable 
print_cmds # 输出 所 有 能 理解 的 命令 


在 初始 的 snort.conf 文件 中 ， 有 关 SMTP 预 处 理 的 配置 如 下 所 示 。 
preprocessor smtp: ports { 25 587 691 } inspection type stateful 
normalize cmds \ 
normalize cmds { EXPN VRFY RCPT } alt max command line len 260 { MAIL }\ 
alt max command line len 300 { RCPT } alt max command line len 500 { HELP 
HELO ETRN } \ 
alt max command line len 255 { EXPN VRFY } 
除了 上 面 解释 的 预 处 理 模块 外 ， 初 始 的 snort.conf 文件 中 还 配置 了 以 下 一 些 模块 。 
Stream4: 提供 TCP 流 的 重 装配 置 和 有 状态 的 分 析 功 能 。 
Flow: 提供 把 状态 统一 保持 在 一 个 单一 的 位 置 的 功能 。 
Stream5: 是 一 种 基于 目标 的 TCP 重 装 模块 。 
sfPortscan: 用 于 检测 端口 扫描 ， 这 是 网 络 攻击 的 开始 阶段 。 
RPC Decode: 用 于 把 多 个 分 割 的 记录 规范 到 一 个 单一 的 非 分 割 记录 。 
Performance Monitor: 测定 Snort 实时 的 和 理论 上 最 大 的 性 能 。 
FTP/Telnet: 对 FTP 和 Telnet 数据 流 提 供 有 状态 的 解码 。 
SSH: 该 模块 用 于 检测 Gobbles、CRC 32 等 攻击 。 
DCE/RPC: 该 模块 对 SMB 和 DEC/RPC 数据 包 进 行 解码 。 
DNS: 对 DNS 应 答 进行 解码 并 检测 DNS 客户 端 RData 溢出 、 过 时 的 和 实验 性 的 
记录 类 型 。 
上 述 模块 具体 的 配置 方法 可 参见 Snort 用 户 手 册 ， 此 处 不 再 袭 述 。 
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10.3.4 配置 Snort 输出 插件 


配置 输出 插件 可 以 允许 Snort 为 用 户 提供 更 加 人 性 化 的 输出 。 它们 在 Snort 的 报警 和 日 
志 模 块 中 被 调用 ， 以 便 把 预 处 理 和 入 侵 检测 引擎 中 产生 的 数据 输出 。 每 一 个 输出 插件 与 某 
一 事件 相 联系 ， 当 该 事件 发 生 时 ， 这 些 输出 模块 将 依次 被 调用 。 
全 说 明 : 与 标准 的 日 志和 报警 系统 一 样 ， 这 些 输 出 插件 默认 使 用 /var/log/snort 目录 ， 用 户 

也 可 以 通过 -| 选项 指定 到 其 他 位 置 。 

输出 插件 在 运行 时 被 装载 ， 其 配置 与 预 处 理 模块 的 配置 类 似 ， 格 式 如 下 : 

output <name>: <options> 

其 中 ，name 是 插件 的 名 称 ，options 是 配置 选项 。 不 同 的 插件 其 配置 选项 是 很 不 一 样 
的 。 下 面 以 alert_syslog 插件 为 例 介绍 Snort 输出 插件 的 配置 方法 。 

alert_syslog 插件 用 于 把 警报 发 送 到 系统 日 志 , 其 功能 与 命令 行 选项 -s 类 似 。alert syslog 
插件 也 可 以 允许 在 Snort 的 规则 文件 中 指定 日 志 设 备 和 级 别 ,为 用 户 提供 了 很 大 的 自由 度 。 
当 配 置 该 插件 时 ， 需 要 指定 日 志 设备 、 日 志 级 别 和 一 些 选 项 ， 其 格式 如 下 : 


alert syslog: <facility> <priority> <options> 


facility 指定 日 志 设 备 的 名 称 , 如 log_auth、log_daemon、log_ local0~log_ local7 和 log_user 
等 。priority 指定 日 志 的 级 别 , 如 log_emerg、log alert、 log crit、 log_err、 log warning、 log_ 
noticee、log_info、log_debug 等 。options 可 以 是 log_cons、log ndelay、log_perror、log_pid 
等 。 在 初始 的 snort.conf 文件 中 ， 关 于 alert_syslog 的 配置 有 以 下 几 个 例子 。 

配置 1， 


# output alert_sys1log: LOG AUTH LOG ALERT 

# output alert syslog: host=hostname, LOG AUTH LOG ALERT 

# output alert_ syslog: host=hostname:port, LOG AUTH LOG ALERT 

功能 : 后面 两 条 配置 用 于 Windows 平台 。 由 于 Windows 本 身 一 般 没 有 运行 系统 日 志 
的 服务 ， 需 要 指定 运行 日 志 服务 的 主机 及 端口 号 。snortconf 文件 中 其 他 的 一 些 输出 插件 配 
置 例子 解释 如 下 所 示 。 

配置 2: 


# output log tcpdump: tcpdump.1og 


功能 : 把 数据 包 记录 到 TCPDUMP 格式 的 文件 ttpdump.log 中 。 该 插件 只 有 一 个 配置 


参数 ， 用 于 指定 日 志文 件 的 名 称 。 
配置 3: 
# output database: log, mysql, user=root password=test dbname=db host= 
localhost 


# output database: alert, postgresql, user=snort dbname=snort 

功能 : 把 日 志 或 警报 发 送 到 数据 库 中 。 需 要 指定 数据 库 类 型 、 名 称 、 运 行 数据 库 的 主 
机 和 登录 数据 库 的 用 户 名 、 密 码 等 参数 。 

配置 4: 
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# output alert unified: filename, snort.alert limit 128 

# output log unified: filename snort.log, limit 128 

功能 : 以 unified 格式 记录 警报 或 日 志 到 文件 中 ， 文 件 名 是 snort.alert 或 snortlog， 大 
小 限制 是 128MB。Unified 是 一 种 直接 的 二 进 制 格式 数据 ， 速 度 很 快 ， 一 般 提 供给 其 他 工 
有 具 处 理 。 


10.3.5 配置 Snort 规则 文件 


Snort 判断 是 否 发 生 了 入 侵 检测 事件 的 主要 依据 是 数据 包 中 是 否 包含 与 规则 相 匹配 的 
模式 ， 因 此 规则 是 Snort 实现 入 侵 检测 功能 的 基础 。 已 知 的 网 络 入 侵 种 类 成 千 上 万 ， 这 些 
入 侵 的 特征 需要 转化 成 Snort 规则 ， 才 能 让 Snort 使 用 。 因 此 ， 只 有 规则 的 数量 足够 多 ， 并 
且 及 时 进行 更 新 ，Snort 工作 时 才能 得 到 有 意义 的 结果 。 

Snort 软件 包 本 身 并 不 提供 规则 。 用 户 如 果 需 要 ， 可 以 从 Snort 的 主页 下 载 。Snort 网 
站 为 3 种 不 同 的 用 户 提供 不 同 的 规则 更 新 服务 。 付 费用 户 可 以 得 到 最 新 的 Snort 规则 ， 

旦 有 新 的 规则 出 现 ， 将 会 得 到 实时 更 新 。 注 册 用 户 比 付费 用 户 迟 30 天 得 到 最 新 规则 ， 即 新 
规则 出 来 后 ， 需 要 过 30 天 之 后 才 提 供给 注册 用 户 下 载 。 非 注册 用 户 只 能 在 Snort 版 本 更 新 
时 才能 得 到 新 的 规则 。 

为 了 获取 Snort 规则 , 需要 在 http:/www.snort.org 网 站 上 注册 一 个 用 户 账号 。 然 后 在 主 
页 上 选择 Rules 及 VRT Rules 链接 ， 再 在 页 面 中 间 找 到 为 注册 用 户 提 供 的 2.9 版 的 规则 集 ， 
单 击 Download 链接 下 载 。 下 载 后 的 文件 约 为 66MB ,文件 名 是 snortrules-snapshot- 2.9.tar。 

上 述 文 件 解压 后 ，rules 目录 中 包含 了 最 新 的 Snort 规则 ， 这 些 规则 根据 类 型 存放 在 不 同 
的 文件 中 。 例 如 ，smtp.rules 文件 中 包含 了 有 关 SMTP 协议 的 规则 。 另 外 ， 每 一 条 规则 都 有 
一 个 编号 。 在 doc/signatures 目录 中 存放 着 对 规则 的 说 明文 件 ， 以 对 应 的 规则 编号 为 文件 名 。 

为 了 使 用 Snort 规则 ,需要 把 rules 目录 中 的 规则 文件 复制 到 /etc/snort/rules 目录 中 。 因 

为 在 snort.conf 文件 中 ， 包 含 了 以 下 一 些 配置 : 


include $RULE PATH/smtp.rules 
include $RULE PATH/imap.rules 


而 在 初始 的 snort.conf 文件 中 ，RULE_PATH 变量 已 经 被 赋予 了 /etc/snort/rules 值 。 因 
此 ， 上 面 的 这 些 配 置 会 把 /etc/snort/rules 目录 中 相应 文件 名 的 规则 文件 包含 到 snort.conf 文 
件 中 ， 以 便 让 snort 命令 使 用 。 


全 注意 : 需要 检查 配置 文件 中 的 规则 文件 名 与 用 户 复制 进去 的 规则 文件 名 是 否 一 致 。 如 果 
某 些 规则 文件 还 没有 被 包含 ， 需 要 在 snort.conf 文件 中 添加 相应 的 配置 。 


10.4 编写 Snort 规则 


前 面 介绍 了 Snort 规则 的 获得 、 配 置 与 使 用 ， 这 些 规 则 是 由 各 种 组 织 或 厂商 提供 的 。 
有 时 用 户 也 希望 能 够 自己 编写 Snort 规则 ， 以 便 能 对 最 新 的 入 侵 行 为 作出 反应 。 下 面 介绍 


“ms 
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有 关 Snort 规则 的 编写 方法 。 
10.4.1 Snort 规则 基础 


Snort 使 用 一 种 简单 的 ， 轻 量 级 的 规则 描述 语言 ， 这 种 语言 灵活 而 强大 。 一 条 Snort 规则 
包含 两 个 多 辑 部 分 ;规则 头 和 规则 选项 。 规 则 头 包含 规 则 的 动作 、 协 议 、 源 和 目的 卫 地 址 
与 网 络 掩 码 以 及 源 和 目的 端口 信息 。 规 则 选项 部 分 包含 警报 消息 和 匹配 模式 ，Snort 要 对 部 
分 数据 包 进 行 检查 以 查看 该 数据 包 是 否 与 模式 匹配 。 如果 匹配 , 将 采取 规则 头 中 指定 的 动作 。 

当 书 写 Snort 规则 时 ， 所 有 的 内 容 都 应 该 在 一 个 单行 上 。 如 果 需 要 分 成 多 行书 写 ， 要 
在 行 尾 加 上 分 隔 符 “\”。 另 外 ，snort.conf 文件 中 定义 的 变量 都 可 以 在 规则 中 使 用 。 最 常用 
的 变量 是 HOME_NET 和 EXTERNAL_NET， 分 别 表示 本 地 子 网 和 其 他 网 段 。 下 面 是 一 个 
Snort 规则 的 例子 : 

alert icmp $EXTERNAL NET any -> $HOME NET any (msg:"ICMP Source Quench" 

icode:0; itype:4; \ 

classtype:bad-unknown; sid:477; rev:3;) 

以 上 规则 中 ， 第 一 个 左 括号 前 的 部 分 是 规则 头 部 分 ，alert 是 警报 动作 。 即 如 果 数 据 包 
与 指定 的 模式 匹配 时 ， 将 发 出 警报 。icmp 是 协议 ， 即 该 规则 只 与 ICMP 协议 的 数据 包 进 行 
匹配 。$EXTERNAL NET 表示 数据 包 的 源 IP 地 址 范围 ， 随 后 的 any 表示 任何 源 端口 号 。 
“二 ”是 数据 包 的 方向 示意 。$HOME_NET 表示 数据 包 的 目的 IP 地 址 范围 ， 随 后 的 any 表 
示 任 何 目的 端口 号 。 

括号 内 的 部 分 是 规则 选项 ， 由 “选项 : 值 ” 组成。 它们 之 间 用 “;” 分 隔 。“ 选 项 : 值 ”之 
间 可 以 认为 是 迪 辑 “与 ”的 关系 ， 即 只 有 数据 包 与 所 有 选项 指定 的 值 匹 配 时 ， 才 认为 是 与 
该 规则 匹配 的 。 同 时 ，Snort 规则 库 中 的 所 有 规则 可 以 认为 是 逻辑 “或 ”关系 。 


10.4.2 Snort 规则 头 


规则 头 定 义 了 一 个 数据 包 的 who、where 和 what 信息 ， 以 及 当 数 据 包 满 足 了 规则 定义 
的 所 有 选项 的 值 时 ， 将 对 数据 包 采 取 什 么 样 的 动作 。 规 则 头 的 第 一 项 就 定义 了 规则 动作 的 
名 称 ， 在 Snort 中 ， 可 以 有 以 下 5 种 内 置 的 规则 动作 。 

口 alert: 以 指定 的 方式 发 送 警报 ， 然 后 记录 数据 包 。 和 警报 模式 可 以 由 命令 行 参 数 -A 
指定 。 
log: 记录 数据 包 到 指定 的 位 置 。 
pass: 忽略 数据 包 ， 不 采取 任何 动作 。 
activate: 执行 alert 动作， 并 激活 另 一 条 dynamic 动作 类 型 的 规则 。 
dynamic: 保持 空闲 直到 被 一 条 activate 动作 激活 , 被 激活 后 将 作为 一 条 log 动作 的 
规则 执行 。 
如 果 Snort 被 iptables 等 工具 调用 ， 工 作 在 内 翌 方 式 时 ， 还 可 以 使 用 以 下 3 种 动作 。 
口 drop: 使 iptables 丢弃 数据 包 ， 并 记录 到 日 志 中 。 
口 reject: 使 iptables 丢弃 数据 包 ， 记 录 到 日 志 ， 然 后 发 送 TCP 复位 或 ICMP 不 可 到 
口 sdrop: 使 iptables 丢弃 数据 包 而 且 不 记录 到 日 志 。 
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除了 上 述 Snort 内 置 的 动作 外 ,用 户 还 可 以 自 定义 动作 ， 并 使 动作 与 snortconf 文件 中 
配置 的 输出 插件 进行 联系 ， 然 后 就 可 以 在 规则 中 使 用 自 定义 的 动作 了 。 下 面 的 语句 定义 了 
一 个 名 为 suspicious 的 自 定义 动作 。 

ruletype suspicious 

1 

type log 
output log tcpdump: suspicious.1og 

} 

ruletype 关键 字 指 定 了 自 定义 动作 的 名 称 。type 指定 了 自 定义 动作 使 用 哪个 内 置 动作 。 
而 output 指定 了 使 用 哪个 输出 插件 ， 以 及 其 所 需 的 一 些 选项 。 上 面 的 语句 表示 执行 
suspicious 动作 时 ， 将 把 数据 包 以 TCPDUMP 格式 记录 到 suspicious.log 文件 中 。 下 面 是 另 
一 个 自 定义 动作 的 例子 。 

ruletype redalert 

{ 

type alert 
output alert syslog: LOG AUTH LOG ALERT 


output database: log, mysql, user=snort dbname=snort host=localhost 
} 


上 面 的 语句 定义 了 一 个 名 为 redalert 的 自 定义 动作 。 执 行 时 ， 将 发 出 警报 ， 并 把 数据 
包 以 LOG_ALERT 级 别 记录 到 系统 日 志 的 LOG_AUTH 设备 中 。 同 时 ， 还 把 数据 包 记 录 到 
本 机 的 MySQL 数据 库 ， 用 户 名 和 数据 库 名 均 为 snort。 

在 规则 头 中 , 紧 跟 着 规则 动作 的 下 一 个 域 是 协议 类 型 。Snort 当前 可 以 分 析 的 协议 类 型 
有 4 种 : TCP、UDP、ICMP 和 IP， 这 已 经 包括 了 Internet 最 主要 的 协议 。 将 来 可 能 会 支持 
更 多 的 协议 ， 例 如 ARP、IGRP、GRE、OSPF、RIP、IPX 等 。 

接 下 来 的 域 是 IP 地 址 。 除 了 单个 IP 地 址 外 ， 还 可 以 使 用 以 IP 地 址 和 CIDR 块 组 成 的 
IP 地 址 段 。 例 如 192.168.1.0/24。 此 外 ， 还 可 以 用 方 括号 表示 卫 地 址 列表 ， 用 “!” 表 示 取 
反 ， 以 及 用 any 表示 任意 的 IP 地 址 。 下 一 个 域 是 端口 号 ， 除 了 定义 单个 端口 号 外 ， 还 可 以 
以 “:” 表 示 端 口 范围 ， 也 可 以 以 any 表示 任何 端口 ,“! ”表示 取 反 。 有 关 IP 地 址 与 端口 
号 的 具体 例子 可 参见 10.3.1 节 。 

方向 操作 符 “->” 表 示 规 则 要 求 的 数据 包 的 方向 。“->” 左 边 的 IP 地 址 和 端口 号 被 认 
为 是 数据 包 的 源 主 机 , 右边 的 耳 地 址 和 端口 号 是 目标 主机 。 也 可 以 使 用 双向 操作 符 “<>”， 
它 告诉 Snort 把 任 一 边 的 IP 地 址 和 端口 号 既 作 为 源 ， 又 作为 目标 来 考虑 ， 这 为 记录 或 分 析 
双向 会 话 提供 了 方便 。 例 如 ， 下 面 的 规则 头 可 以 用 来 表示 Telnet 会 话 双向 数据 包 。 

log !192.168.1.0/24 any <> 192.168.1.0/24 23 


以 上 是 有 关 Snort 规则 头 的 解 。 括 号 内 的 部 分 是 规则 选项 ， 将 在 10.4.3 节 解 释 。 
10.4.3 ”Snort 规则 选项 


Snort 的 规则 选项 是 入 侵 检测 引擎 的 核心 。 所 有 的 入 侵 行为 都 可 以 通过 Snort 规则 选项 
将 其 表达 出 来 ， 使 用 起 来 非常 灵活 。 所 有 的 Snort 规则 选项 和 选项 值 之 间 用 “:” 分 隔 ， 而 
规则 选项 本 身 由 “;” 进 行 分 隔 。 目 前 ，Snort 中 共有 40 多 个 规则 选项 ， 可 以 分 为 以 下 4 类。 
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口 meta-data; 

口 payload; 

口 non-payload; 

口 post-detection 。 

meta-data 类 的 选项 提供 了 关于 规则 的 一 些 信息 ， 但 对 检测 没有 任何 影响 ， 所 包含 的 具 


体 选 项 及 功能 如 表 10-1 所 示 。 


表 10-1 Snort 规则 中 的 meta-data 类 选项 


选项 名 称 功 能 
msg 和 数据 包 一 起 ， 在 报警 或 日 志 中 打印 一 个 字符 串 消息 
reference 允许 Snort 参考 一 个 外 部 的 攻击 鉴别 系统 
sid 指定 Snort 规则 的 唯一 标号 ， 用 1 000 000 以 内 的 整数 表示 ， 小 于 100 的 整数 保留 
rev 指定 Snort 规则 的 版 本 号 
classtype 指定 Snort 规则 的 类 别 标识 
priority 指定 Snort 规则 的 优先 级 标识 号 
metadata 提供 Snort 规则 的 一 些 额外 信息 


payload 类 选项 指定 的 内 容 是 要 求 在 数据 包 的 负载 数据 中 进行 搜索 的 , 所 包含 的 具体 选 
项 及 功能 如 表 10-2 所 示 。 


表 10-2 ”Snort 规则 中 的 payload 类 选项 


选项 名称 功 能 
content 在 包 的 负载 数据 中 搜索 指定 的 内 容 并 根据 内 容 触 发 响应 
nocase content 选项 的 修饰 符 ， 表 示 content 指定 的 字符 串 大 小 写 不 敏感 
rawbytes content 选项 的 修饰 符 ， 表 示 直 接 在 二 进 制 流 中 搜索 ， 忽 略 解码 数据 
depth content 选项 的 修饰 符 ， 设 定 搜索 的 最 大 深度 
offset content 选项 的 修饰 符 ， 设 定 开 始 搜索 的 位 置 
distance content 选项 的 修饰 符 ， 设 定 搜索 的 最 大 广度 
within content 选项 的 修饰 符 ， 把 匹配 模式 的 搜索 限制 在 一 定 的 范围 


http_client body 


content 选项 的 修饰 符 ， 把 匹配 模式 的 搜索 限制 在 客户 端的 HTTP 请 求 的 实体 数据 中 


http_uri content 选项 的 修饰 符 ， 把 匹配 模式 的 搜索 限制 在 HTTP 请 求 的 头 域 中 
uricontent content 选项 的 修饰 符 ， 在 数据 包 的 URI 部 分 搜索 一 项 内 容 

isdataat content 选项 的 修饰 符 ， 表 示 模 式 匹 配 后 ， 其 后 面 还 跟随 指定 个 数 的 非 换行 字符 
pcre 允许 使 用 Perl 兼容 的 正则 表达 式 书写 Snort 规则 

byte test 对 数据 包 中 的 某 些 字 节 进行 值 比较 ， 可 以 用 字符 串 及 操作 符 表 示 字 节 值 

byte jump 把 数据 包 中 的 某 些 字 节 转换 成 数值 ， 并 进行 相应 的 偏 移 量 调整 

ftpbounce 于 检测 FTP 跳跃 攻击 

asnl 由 ASN.1 插件 使 用 ， 解 码 全 部 或 部 分 数据 包 ， 再 搜索 各 种 恶意 代码 


non-payload 


类 选项 指定 的 内 容 要 求 在 数据 包 的 报 文 头 域 中 进行 搜索 , 所 包含 的 具体 选 


项 及 功能 如 表 10-3 所 示 。 
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表 10-3 Snort 规则 中 的 non-payload 类 选项 
选项 名 称 功 能 
fragoffset 检查 IP 头 的 分 段 偏 移 位 
了 检查 ip 头 的 tt 的 值 
tos 检查 IP 头 中 TOS 字段 的 值 
id 检查 ip 头 的 分 片 id 值 
ipopts 查看 IP 选项 字段 的 特定 编码 
fragbits 检查 IP 头 的 分 段位 
dsize 检查 数据 包 载 荷 的 大 小 
flags 检查 是 否 有 特定 的 TCP 标志 存在 
flow 检查 特定 TCP 数据 流向 的 数据 包 
flowbits 用 于 Flow 预 处 理 模块 ， 跟 踪 会 话 状态 
seq 检查 tcp 序列 号 的 值 
ack 检查 tcp 应 答 (ACK) 的 值 
window 检查 TCP 特定 的 窗口 域 值 
itype 检查 icmp type 的 值 
icode 检查 icmp code 的 值 
icmp id 检查 icmp ID 的 值 
icmp_seq 检查 icmp seq 的 值 
rpc 检查 RPC 请 求 的 应 用 、 版 本 号 和 过 程 号 
ip_proto 检查 IP 头 的 上 层 协 议 值 
sameip 检查 数据 包 的 源 IP 和 目的 了 P 是 否 相等 


post-detection 类 选项 指定 当 某 一 数据 包 与 规则 匹配 后 ， 试 图 触发 某 一 种 其 他 的 动作 ， 
所 包含 的 具体 选项 及 功能 如 表 10-4 所 示 。 


表 10-4 Snort 规则 中 的 post-detection 类 选项 


选项 名 称 功 能 
logto 把 触发 该 规则 的 所 有 的 包 记 录 到 一 个 指定 的 输出 日 志文 件 中 


session 用 于 从 TCP 会 话 中 抽取 用 户 数据 
resp 当 一 个 数据 包 触发 警报 时 ， 试 图 关闭 会 话 


Teact 使 用 户 能 对 


与 规则 匹配 的 数据 包 流 作出 反应 ， 如 阻止 该 流 


tag 对 触发 规则 的 数据 包 作 上 标签 ， 以 便 可 以 记录 其 他 相关 数据 到 日 志 


以 上 是 有 关 Snort 规则 选项 的 解释 ， 下 面 看 两 个 具体 的 规则 例子 。 


alert tcp S$HOME NET any -> S$EXTERNAL NET S$HTTP PORTS (msg:"WEB-CLIENT 


Microsoft wmf metafile \ 


access"; flow:from client,established; uricontent:".wmf"; flowbits:set, 
wmf.download; metadata:service http; \ 
classtype:attempted-user; sid:2436; rev:9;) 


以 上 规则 选项 表示 检查 数据 


包 是 否 来 自 客户 端 并 具有 TCP 已 连接 标志 、URI 包含 


sie 
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“.wmf” 字 符 串 。 如 果 有 ， 除 了 报警 外 ， 还 要 做 上 wmf.download 状态 标志 。 这 条 规则 属于 
attempted-user 类 ， 标 识 号 为 2436， 版 本 号 为 9。 同 时， 规则 头 还 指定 了 数据 包 应 该 是 从 本 
地 网 络 计 算 机 的 任何 端口 发 往外 界 网 络 计算 机 的 HTTP 端口 。 


alert tcp $EXTERNAL NET any -> $SQL SERVERS 139 (msg:"SQL shellcode attempt";\ 

flow:to_server,established; content:"9 |D0 00 92 01 C2 001R1001U10019 |EC 

Dll 

classtype:shellcode-detect; sid:692; rev:7;) 

以 上 规则 选项 表示 检查 数据 包 是 否 具有 TCP 已 连接 标志 并 且 负 载 数据 中 是 否 包含 “9 
|D0 00 92 01 C2 00IRI00IUI00l9IEC 00|”。 其 中 ， 由 “|” 包 围 的 内 容 表 示 是 一 个 二 进 制 序列 。 
这 条 规则 属于 shellcode-detect 类 ， 标 识 号 为 692， 版 本 号 为 7。 同 时 ， 规 则 头 还 指定 了 数 
据 包 应 该 是 从 外 界 网 络 计算 机 的 任何 端口 发 往 本 地 网 络 计算 机 的 139 号 端口 。 


10.5 小 结 


入 侵 检测 系统 是 对 网 络 攻击 进行 主动 防范 的 一 种 手段 ， 是 保证 网 络 安全 的 一 种 重要 措 
施 。 本 章 首 先 介绍 有 关 入 侵 检测 的 基础 知识 ， 包 括 网 络 安全 的 定义 、 网 络 攻击 的 类 型 及 入 
侵 检测 系统 的 定义 等 内 容 。 然 后 介绍 最 知名 的 开源 入 侵 检测 系统 一 Snort， 包 括 它 的 3 种 
运行 方式 、 配 置 方法 、 规 则 的 使 用 和 编写 等 内 容 。 
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在 实际 情况 下 ， 各 种 服务 器 主机 工作 时 都 是 摆 放 在 标准 机 房 内 的 ， 管 理 人 员 对 服务 器 
进行 各 种 操作 时 ， 并 不 一 定 都 需要 直接 在 控制 台 上 进行 ， 完 全 可 以 通过 远程 管理 技术 进行 
远程 操作 。 下 面 介 绍 几 种 Linux 系统 下 架设 远程 管理 服务 器 的 方法 ， 包 括 传统 的 Telnet 服 
务 器 、 提 供 安 全 连接 的 SSH 服务 器 ， 以 及 提供 图 形 界面 的 VNC 服务 器 。 


11.1 架设 Telnet 服务 器 


Telnet 是 TCP/IP 协议 族 中 应 用 最 广泛 的 应 用 层 协议 之 一 ,提供 一 个 以 联机 方式 访问 网 
上 资源 的 通用 工具 。 它 允许 用 户 与 一 个 远程 机 器 上 的 服务 器 进行 通信 。 它 通过 一 个 协商 过 
程 来 支持 不 同 的 物理 终端 ， 从 而 提供 了 极 大 的 灵活 性 。Telnet 协议 可 以 在 任何 主机 任何 
操作 系统 ) 或 任何 终端 之 间 工 作 。 各 种 操作 系统 都 内 置 了 Telnet 协议 的 客户 端 软 件 ， 不 需 
要 安装 ， 使 用 方便 。 下 面 介绍 有 关 Telnet 的 内 容 ， 包 括 Telnet 的 工作 原理 、 协 议 、 服 务 器 
的 架设 方法 等 。 


11.1.1 ”远程 管理 


远程 管理 是 指 通 过 网 络 由 一 台 终 端 或 计算 机 去 控制 男 一 台 计算 机 的 技术 ， 只 要 网 络 是 
相通 的 ， 这 两 台 计算 机 的 距离 可 以 很 远 。 随 着 网 络 的 高 度 发 展 ， 计 算 机 管理 及 技术 支持 的 
需要 , 远程 操作 及 控制 技术 越 来 越 引起 人 们 的 关注 。 远程 管理 可 以 支持 多 种 网 络 连接 方式 ， 
包括 LAN、WAN、 拨 号 方式 、 互 联网 等 。 传 统 的 远程 管理 软件 一 般 使 用 NETBEUTI、 
NETBIOS、IPX/SPX、TCP/IP 等 协议 来 实现 ， 也 有 一 些 远程 控制 软件 还 支持 通过 串口 、 并 
口 、 红 外 端口 来 对 远程 机 进行 控制 。 


名 说明: 随 着 网 络 技术 的 发 展 ， 目 前 很 多 远程 管理 软件 也 可 以 通过 Web 页 面 以 Java 技术 
来 控制 远程 计算 机 。 


远程 管理 技术 可 以 有 以 下 一 些 应 用 。 
1. 远程 办 公 

通过 远程 管理 功能 可 以 实现 远程 办 公 ， 提 高 工作 效率 ， 节 省 成 本 。 
2. 远程 技术 支持 


通常 ， 远 距离 的 技术 支持 必须 依赖 技术 人 员 和 用 户 之 间 的 电话 交流 来 进行 ， 这 种 交流 
既 耗 时 又 容易 出 错 。 有 了 远程 管理 技术 后 ， 技 术 人 员 就 可 以 远程 控制 用 户 的 计算 机 ， 就 像 


第 11 章 ”远程 管理 Linux 
直接 操作 本 地 计算 机 一 样 。 因 此 ， 问 题 的 解决 可 能 会 变 得 非常 简单 。 
利用 远程 管理 技术 ， 商 业 公司 可 以 实现 和 用 户 的 远程 交流 。 采 用 交互 式 的 教学 模式 ， 
通过 实际 操作 来 培训 用 户 ， 使 用 户 从 专业 人 员 那 里 学 习 示例 知识 变 得 十 分 容易 。 而 教师 和 
学 生 之 间 也 可 以 利用 这 种 远程 管理 技术 实现 教学 问题 的 交流 ， 学 生 可 以 在 没 见 到 老师 的 情 
况 ， 就 得 到 老师 手把手 的 辅导 和 讲授 ; 教师 能 够 实时 看 到 学 生 在 计算 机 中 进行 的 习题 演算 
和 求解 ， 了 解 学 生 的 解 题 思路 和 步骤 ， 并 在 需要 时 加 以 实时 地 指导 。 


4. 远程 维护 和 管理 


网 络 管理 员 或 者 普通 用 户 可 以 通过 远程 管理 技术 ， 为 远 端 的 计算 机 或 网 络 设备 安装 和 
配置 软件 、 下 载 并 安装 软件 修补 程序 、 配 置 应 用 程序 和 进行 系统 软件 设置 。 


11.1.2 Telnet 工作 原理 


Telnet 协议 可 以 工作 在 任何 操作 系统 的 主机 或 任何 终端 之 间 。RFC854 定义 了 该 协议 的 
规范 ， 其 中 还 定义 了 一 种 通用 字符 终端 ， 称 为 NVT (Network Virtual Terminal， 网 络 虚拟 
终端 )。NVT 是 虚拟 设备 , 连接 的 双方 即 客户 机 和 服务 器 , 都 必须 把 它们 的 物理 终端 和 NVT 
进行 相互 转换 。 也 就 是 说 , 不管 客户 进程 终端 是 什么 类 型 ， 操 作 系统 必须 把 它 转换 为 NVT 
格式 。 同 时 ， 不 管 服务 器 进程 的 终端 是 什么 类 型 ， 操 作 系统 必须 能 够 把 NVT 格式 转换 为 
终端 所 能 够 支持 的 格式 。 

NVT 是 带 有 键盘 和 打印 机 的 字符 设备 。 用 户 敲 击 键盘 时 产生 的 数据 被 发 送 到 服务 器 进 
程 ,服务 器 进程 回 送 的 响应 则 输出 到 打印 机 上 。 
默认 情况 下 ， 用 户 敲 击 键盘 时 产生 的 数据 是 发 。 [Teinet 客 户 端 ts 
送 到 打印 机 上 的 ， 但 可 以 通过 设置 加 以 改变 。 “| 1 a 

Telnet 采用 的 是 典型 的 客户 端 / 服 务 器 工作 抽 f Le 
方式 ， 如 图 11-1 所 示 。 当 用 Telnet 登录 进入 远 Er 
程 计算 机 系统 时 ， 将 启动 两 个 程序 ， 一 个 叫 一 
Telnet 客户 程序 ， 它 运行 在 用 户 的 本 地 机 上 ; 输出 结果 
另 一 个 叫 Telnet 服务 器 程序 ， 它 运行 在 用 户 要 
登录 的 远程 计算 机 上 。 

本 地 机 上 的 客户 程序 要 完成 如 下 的 功能 。 
建立 与 服务 器 的 TCP 连接 ; 
从 键盘 上 接收 输入 的 字符 ; 
把 输入 的 字符 串 变 成 标准 格式 并 送 给 远程 服务 器 ; 
从 远程 服务 器 接收 输出 的 信息 ; 
把 该 信息 显示 在 屏幕 上 。 

远程 Telnet 服务 器 上 的 Telnet 服务 程序 平时 处 于 监听 状态 ， 一 旦 接 到 客户 端的 连接 请 
求 ， 就 马上 活跃 起 来 ， 并 完成 以 下 几 个 功能 。 

口 通知 计算 机 ， 远 程 计算 机 已 经 准备 好 了 ; 


今 


如 


图 11-1 Telnet 的 工作 原理 


OOODOCDOD 
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口 等 候 输 入 命令 ; 
口 对 输入 的 命令 做 出 反应 (如 显示 目录 内 容 ， 或 执行 某 个 程序 等 ); 
口 把 执行 命令 的 结果 送 回 给 用 户 的 计算 机 ; 


口 寻 


全 说 明 : 


T1143 


EE 新 等 候 输入 的 命令 。 
客户 机 和 服务 器 上 的 操作 系统 类 型 可 以 不 一 样 。 


Telnet 协议 


Telnet 通信 的 两 个 方向 都 采用 带 内 信 令 方式 。 字 节 0x 任 是 命令 的 前 导 字 节 ， 随 后 的 一 
个 字 节 才 是 命令 字 节 。 如 果 要 发 送 数据 0xff, 则 必须 发 送 两 个 连续 的 0xff 字 节 。 所 有 的 Telnet 


命令 如 表 11-1 所 示 。 
表 11-1 Telnet 命令 集 

名 称 说 明 
EOF 文件 结束 符 
SUSP 挂 起 当前 进程 
ABORT 238 异常 中 止 进程 
EOR 记录 结束 符 
SE 240 子 选 项 结束 
NOP 空 操作 
DM 242 数据 标记 
BRK 终止 符 
IP 244 终止 进程 
AO 终止 输出 
AYT 246 请 求 应 答 
EC 转 义 字符 
EL 248 删除 一 行 
GA 249 继续 进行 
SB 250 子 选项 开始 
WILL 251 选项 协商 
WONT pd 选项 协商 
DO 253 选项 协商 
DON’T 254 选项 协商 

Mc 字条 OF 


Telnet 连接 的 双方 都 是 标准 的 网 络 虚拟 终端 NVT， 但 实际 上 Telnet 连接 双方 首先 进行 
交互 的 信息 还 是 选项 协商 数据 。 选 项 协商 是 对 称 的 ， 也 就 是 说 任何 一 方 都 可 以 主动 发 送 选 
项 协商 请 求 给 对 方 。 但 实际 情况 下 ， 由 于 远程 登录 不 是 对 称 的 应 用 ， 所 以 有 些 选 项 仅仅 适 
合 于 客户 进程 。 某 些 选项 则 仅仅 适合 于 服务 器 进程 。 对 于 任何 给 定 的 选项 ， 连 接 的 任何 一 
方 都 可 以 发 送 下 面 4 种 请 求 的 任意 一 种 请 求 。 


“2 
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口 WILL: 发 送 方 本 身 将 激活 (Enable〉 选 项 。 

口 DO: 发 送 方 想 让 接收 端 去 激活 选项 。 

口 WONT: 发 送 方 本 身 想 禁 止 选项 。 

口 DON'T: 发 送 方 想 让 接收 端 去 禁止 选项 。 

Telnet 规定 ， 对 于 激活 选项 请 求 ( 即 WILL 和 DO)， 对 方 有 权 同 意 或 者 不 同意 。 而 对 
于 使 选项 失效 请 求 必须 同意 。 这 样 ，4 种 请 求 再 加 上 回应 就 会 组 合 出 6 种 情况 ， 如 表 11-2 
所 示 。 


表 11-2 Telnet 选项 协商 的 6 种 情况 
说 明 
发 送 者 想 激活 某 选 项 ， 接 收 者 接收 该 选项 请 求 
发 送 者 想 激活 某 选 项 ， 接 收 者 拒绝 该 选项 请 求 
发 送 者 希望 接收 者 激活 某 选 项 ， 接 收 者 接受 该 请 求 
发 送 者 希望 接收 者 激活 某 选 项 ， 接 收 者 拒绝 该 请 求 
发 送 者 希望 使 某 选项 无 效 ， 接 收 者 必须 接受 该 请 求 
发 送 者 希望 接受 者 使 某 选 项 无 效 ， 接 收 者 必须 接收 该 请 求 


选项 协商 需要 3 个 字 节 。 一 个 前 导 字 节 0xff， 接 着 一 个 字 节 是 WILL、DO、WONT 和 
DON'T 这 四 者 之 一 ， 最 后 一 个 选项 标识 字 节 用 来 指明 协商 什么 内 容 。 常 用 的 选项 标识 如 
表 11-3 所 示 。 

表 11-3 常用 的 Telnet 选项 标识 


选项 标识 由 哪个 RFC 描述 
3 禁止 继续 858 
5 859 
24 1019 


窗 


31 口 大 小 1073 
32 端 速 率 1079 
33 远程 流量 控制 中 罗 
34 行 模式 1184 


对 于 大 多 数 Telnet 的 服务 器 和 客户 机 进程 来 说 ， 它 们 之 间 进 行 交 互 时 ， 可 以 采用 以 下 
4 种 操作 方式 中 的 一 种 。 
1. 半 双 工 


客户 进程 在 接收 用 户 的 输入 以 前 ， 必 须 从 服务 器 进程 获得 GA 命令 。 用 户 的 输入 首先 
在 本 地 回 显 ， 方 向 是 从 键盘 到 打印 机 ， 客 户 进程 到 服务 器 进程 只 能 发 送 整 行 的 数据 。 虽 然 
这 种 方式 适用 于 所 有 类 型 的 终端 设备 ， 但 是 它 不 能 充分 发 挥 目前 绝 大 部 分 支持 双 工 通信 的 
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终端 的 性 能 ， 因 此 现在 很 少 使 用 。 
2. 一 次 一 个 字符 方式 


客户 端 所 输入 的 每 个 字符 都 单独 发 送 到 服务 器 进程 。 正 常情 况 下 ， 服 务 器 进程 再 回 显 
大 多 数 的 字符 。 这 种 方式 的 缺点 是 显而易见 的 ， 它 会 产生 不 必要 的 网 络 流量 。 当 网 络 速 度 
很 慢 时 ， 回 显 的 速度 也 会 很 慢 。 但 目前 大 多 数 的 Telnet 实现 都 把 这 种 方式 作为 默认 方式 。 


3. 一 次 一 行 方式 


这 种 方式 也 称 为 准 行 方式 , 它 的 实现 是 遵照 RFC858 标准 文档 的 。 具体 来 说 , 使 表 11-3 
中 的 “回应 ”选项 和 “禁止 继续 ”选项 中 的 其 中 一 个 无 效 ，Telnet 就 工作 在 一 次 一 行 方式 。 


4. 行 方式 

这 个 选项 是 在 RFC1184 中 定义 的 , 也 是 通过 客户 机 进程 和 服务 器 进程 进行 协商 后 确定 
的 ， 它 纠正 了 准 行 方式 的 所 有 和 缺陷， 目前 比较 新 的 Telnet 实现 支持 这 种 方式 。 
11.1.4 ”实际 的 Telnet 数据 包 


在 用 户 利用 Telnet 协议 从 客户 机 登录 到 服务 器 的 过 程 中 ， 客 户 端 和 服务 器 端 要 交互 很 
多 的 数据 包 。 下 面 通过 抓 包工 具 Wireshark 捕获 这 些 数 据 包 ， 并 进行 观察 ， 以 便 更 深入 地 
理解 Telnet 协议 。 假 设 一 台 IP 地 址 为 192.168.127.1 的 计算 机 通过 Telnet 成 功 连接 到 IP 地 
址 为 192.168.127.130 的 服务 器 ，Wireshark 抓 到 的 数据 包 如 图 11-2 所 示 。 


全 技巧 抓 包 时 可 设置 host 192.168.127.130 过 滤 规 则 ， 以 免 其 他 数据 包 的 干扰 。 


国 Capturing from VMware Virtual Ethernet Adapter \Device\NPF_(BEFDF323-C274 a8C EAB RF OBIS IWrehok182_[EedEE 
a es 
Ele Edt View Go Capture Anayze Statstics Telephony Took Intemak Help 
因 宙 也 Qi 亲 | 所 加 区 多 后 | 全 外 名 卫生 | 贺 日 /1 QQIQ 昌 | 重 四 加 区 | 加 | 
Fiker -| Exprestion.. Cleer Appy Seve 
INo. Protocol Length Info 
SSDP 208M-SEARCH * HTTP/1.1 
SSDP 208 M-SEARCH * HTTP/1.1 
SSDP 208 M-SEARCH * HTTP/1. = 由 
SSDP 208 M-SEARCH * HTTP， 


42 who has 192.168. 3127 130? Tell] 192.: 
42 192.168.127.130 is at 00:0c:29:de:f: 


9 14.000019000 fe80: :alf7:c10:7a98ff02::C SSDP 208 M-SEARCH * HTTP/1.1 

12 17.000142000 fe80::alf7 py 7a98ff02::C SSDP 208 M-SEARCH * HTTP/1.1 
Vmware_c0:00:08 ARP 42 who has 192.168.127.1? Tell 192.16! | 
Vmware_de:fl:2b ARP 42 192.168.127.1 is at 00:50:56:c0:00:( 


15 20. 000520000 fe80::alf7: 0 :7a8 fro2. EE SSDP 208 M-SEARCH * HTTP/1.1 - 
J 6 


轩 Frame 1: 208 bytes on wire (1664 bits), 208 bytes captured (1664 bits) on interface 0 

Ethernet II, Src: vmware_c0:00:08 (00:50:56:c0:00:08), Dst: IPv6mcast_00:00:00:0c (33:33:00:00:00:0c) 
加 Internet protocol version 6, Src: fe80::alf7:c10:7a98:1dc (fe80::alf7:c10:7a98:1dc), Dst: ff02::c (ff02::5 
国 J Datagram Protocol, Src Port: 61842 (61842), Dst Port: ssdp (1900) = 


[Profie: Defauk (copy) 


图 11-2 Wireshark 抓 到 的 Telnet 数据 包 
从 图 11-2 中 可 以 看 出 ,客户 机 (192.168.127.1) 向 服务 器 的 23 号 端口 发 起 TCP 连接 ， 
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通过 编号 为 1、2、3 的 3 个 数据 包 完 成 了 TCP 3 次 握手 ， 建 立 了 TCP 连接 ，23 号 TCP 端 
口 是 Telnet 服务 器 默认 时 监听 的 端口 。 连 接 建 立 后 ， 服 务 器 通过 数据 包 4 向 客户 端 发 送 了 
4 条 Telnet 命令 , 用 于 协商 选项 , 图 中 高 亮 显示 的 数据 包 所 携带 的 命令 是 Do Terminal Type， 
其 二 进 制 数据 是 0xff、0xfa 和 0x18。0xff 是 命令 的 前 导 字 节 。 从 表 11-1 可 知 ，0xfd 表示 
的 是 DO 选项 协商 ， 而 0x18 是 选项 标识 中 的 一 种 ， 但 在 表 11-3 中 尚未 列 出 。 

然后 ，Telnet 客户 端 和 服务 器 总 共 交 换 了 25 个 数据 包 ， 主 要 是 通过 选项 协商 命令 进行 
有 关 终 端 参 数 的 协商 ， 最 后 完成 了 连接 过 程 。 可 见 ， 相 对 其 他 协议 ，Telnet 协议 的 数据 包 
数量 是 比较 大 的 。 下 面 再 看 最 后 一 个 由 服务 器 发 给 客户 端的 Telnet 数据 包 , 即 24 号 数据 包 
的 内 容 ， 如 图 11-3 所 示 。 


国 Capturing from VMware Virtual Ethemet Adapter \DeviceVNPF (BEFDF323-C274-48CC-A6BA-F9B228A19109) [Wireshark 1.8.2 ~ [eeu ES | 
Fle Edt View Go Cepture Anayza Statstics Telephony Toos Intermas Hebp 
CE | 


Fiker | ~ | bpression- Clear Appy Save 
一 一 一 一 一 一 一 - 于 
Hypertext Transfer Protocol OO 
RN 汪汪 
田 [Expert Info (chat/sequence): M-SEARCH * HTTP/1.1\r\n] 国 


Request Method: M-SEARCH 
Request URI: * 
Redusst VerS Ton 


97 5c 00 9a 7b 50 4d 2d 


a 
0050 国 od 0a 48 6f 73 74 3a 5b 图 HE 
950 sd 213939 3040 B35 375 7 ee 4d 


lo0a0 56 0 相 名 63 6: 
oobo 6c 0d 0a 4d 61 6 70 3a 64 69 73 
968 如 台 的 各 器 拉 操 要强 名 抱 半 肥 69 


|@ HTTP Request HTTP-Version (http.reoue,.. | Packets: 45 Deplayed: 45 Marked: 0 | Profile: Default (copy) 
图 11-3 24 号 数据 包 的 内 容 


从 图 11-3 中 可 以 看 出 ,服务 器 发 给 客户 端的 这 个 数据 包 包 含 了 命令 和 数据 。 没有 前 导 
字 节 0x 企 的 字 节 均 被 认为 是 数据 字 节 ， 有 具体 内 容 是 发 送 给 客户 端的 提示 信息 。 客 户 端 收 到 
这 个 提示 信息 后 ， 可 以 在 终端 上 输入 用 户 名 和 密码 进行 登录 。 如 果 进 一 步 抓 包 ， 可 以 看 到 
用 户 名 和 密码 都 是 明文 传输 的 ， 而 且 采 用 的 是 一 次 一 个 字符 方式 ， 即 一 个 数据 包 只 包含 一 
个 数据 字符 。 


11.1.5 ”Telnet 服务 器 软件 的 安装 


因为 Telnet 采用 明文 传输 用 户 名 和 密码 ， 因 此 对 系统 的 安全 造成 了 很 大 的 威胁 。 在 一 
些 重 要 的 系统 中 ， 一 般 不 使 用 Telnet 进行 远程 管理 。 因 此 ， 在 RHEL 6 中 默认 情况 下 是 不 
安装 Telnet 服务 器 软件 的 。 可 以 通过 以 下 命令 查看 : 

# rpm -qa | grep telnet 


telnet-0.17-47.e16.i686.rpm 
telnet-server-0.17-47.e16.i686.rpm 


telnet-0.17-47.e16.i686.mpm 是 Telnet 客户 端 RPM 包 。 为 了 安装 Telnet 服务 器 RPM 包 ， 
需要 在 光盘 中 找到 telnet-server-0.17-47.e16.i686.rpm 包 安 装 上 。 另 外 ，telnet 服务 端 软件 运 
行 时 ， 还 需要 xinetd-2.3.14-34.el6.i686.rpm 包 的 支持 ， 这 个 包 默认 也 是 没有 安装 的 ， 需 要 
从 光盘 中 找到 把 它 复制 到 当前 目录 。 这 两 个 RPM 包 复 制 到 当前 目录 后 ， 再 输入 以 下 命令 
进行 安装 : 


1 
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# rpm -ivh xinetd-2.3.14-34.e16.i686.rpm 

warning: xinetd-2.3.14-34.e16.i686.rpm: Header V3 RSA/SHA256 Signature, key 

ID fd431d51: NOKEY 

Preparing... 非 非 提 拓 大 提 提 大 提 提 拓 拓 提 提 提 并 拓 拓 提 拓 拓 提 提 拓 大 间 提 拓 提 间 拓 井 提 提 拓 提 提 提 提 井 提 ## [OO 名 ] 
package xinetd-2:2.3.14-34.e16.i686 is already installed 


[root@localhost ]# cd Packages 

[root@localhost Packages]# rpm -ivh telnet-server-0.17-47.e16.i686.rpm 

warning: telnet-server-0.17-47.e16.i686.rpm: Header V3 RSA/SHA256 

Signature, key ID fd431d51: NOKEY 

Preparing... 排 非 提 提 大 提 拓 大 提 提 并 提 提 提 提 拉 提 提 提 提 提 提 并 提 提 提 提 提 提 提 提 提 提 并 提 提 提 间 提 间 ## 提 [OO 名 ] 
1:telnet-server 提 提 并 非 提 提 提 提 提 提 提 提 并 提 提 提 提 提 提 提 提 并 提 提 提 提 提 提 提 间 提 提 提 提 提 提 间 提 井 # 提 间 # [lOO 名 ] 

# 


telnet-server-0.17-47.e16.i686.rpm 包 安 装 完成 后 ， 所 包含 的 文件 如 下 所 示 。 

口 /etc/xinetd.d/telnet: 被 inetd 调用 时 的 配置 文件 。 

口 /usr/sbin/in.telnetd: 被 inetd 调用 的 命令 文件 。 

口 /usr/share/man/man8/in.telnetd.8.gz: 帮助 手册 页 文件 。 

口 /usr/share/man/man8/telnetd.8.gz: 帮助 手册 页 文件 。 

xinetd 是 一 个 守护 进程 ， 用 于 处 理 对 各 种 服务 的 请 求 。 当 xinetd 监控 的 连接 请 求 出 现 
时 ，xinetd 会 通过 /etc/xinetd.conf 文件 读 取 /etc/xinetd.d 目录 中 的 相应 配置 文件 , 启动 相应 的 
程序 。 这 样 做 的 目的 是 为 了 节省 系统 资源 。 因 为 在 Linux 中 有 一 些 服务 使 用 得 不 多 ， 如 是 
作为 单独 的 进程 运行 ， 大 部 分 的 时 间 都 是 空闲 的 ， 白 白 占 用 了 系统 资源 。 在 采用 xinetd 运 
行 方式 后 ， 可 以 使 这 些 服务 进程 平时 不 运行 ， 只 有 在 客户 请 求 的 时 候 才 运行 。 同 时 ， 在 采 
用 xinetd 运行 方式 后 ， 这 些 服 务 的 安全 可 以 统一 交 给 xinetd 管理 ， 从 面 提高 了 系统 的 安全 
性 能 。 在 RHEL 6 中 ，Telnet 服务 器 必须 要 通过 xinetd 才能 运行 。xinetd-2.3.14-34.el6.i686 
包 中 包含 的 主要 文件 如 下 : 
/etc/re.d/init.d/xinetd: 开机 自动 运行 xinetd 的 脚本 文件 。 
/etc/sysconfig/xinetd: xinetd 运行 时 的 一 些 环境 变量 设置 脚本 文件 。 
/etc/xinetd.conf: xinetd 的 主 配置 文件 。 
/usr/sbin/xinetd: xinetd 的 命令 文件 。 
/usr/share/doc/xinetd-2.3.14: xinetd 的 帮助 说 明文 件 。 
/usr/share/man/man5/xinetd.conf.5.gz: xinetd.conf 文件 的 帮助 手册 页 。 
/usr/share/man/man8/xinetd.8.gz: xinetd 的 帮助 手册 页 。 
/usr/share/man/man8/xinetd.log.8.gz: xinetd 日 志 的 帮助 手册 页 。 
另外 ,xinetd 安装 时 还 要 在 /etc/xinetd.d 目录 建立 xinetd 自 带 的 各 种 服务 的 初始 配置 文件 。 


全 注意 : 在 早期 的 Linux 版 本 中 ，Telnet 服务 可 以 单独 运行 ， 不 需要 安装 xinetd 软件 包 


OOOOOOO DO 


11.1.6 _ Telnet 服务 器 软件 的 运行 


为 了 使 用 Telnet 服务 器 能 得 到 初步 的 运行 ， 先 查看 一 下 /etc/xinetd.d/telnet 文件 。 


# vi /etc/xinetd.d/telnet 

# default: on 

# description: The telnet server serves telnet sessions; it uses \ 
unencrypted username/password pairs for authentication. 


“02“ 
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service telnet 


flags = REUSE 
socket type = stream 
wait = no 
user = TOOt 
server = /usr/sbin/in.telnetd 
log on failure += USERID 
disable = yes 
} 


其 中 ，disable 配置 默认 是 yes， 表 示 telnet 还 在 禁用 状态 ， 把 它 改 为 no， 再 存盘 。 然 
后 输入 以 下 命令 。 


# /usr/sbin/xinetd 


此 时 ， 就 启动 了 xinetd 进程 。 可 以 用 以 下 命令 查看 xinetd 进程 是 否 已 启动 。 


# ps -eaflgrep xinetd 

root 2010 1 0 02:51 ? 00:00:00 xinetd -stayalive -pidfile /var/run/xinetd.pid 
root 3337 1761 0 10:53 pts/0 00:00:00 grep xinetd 

# 


可 见 ，xinetd 进程 已 经 启动 。 但 此 时 的 Telnet 进程 还 未 运行 ， 可 以 用 以 下 命令 检验 。 


# ps -eaflgrep telnet 
root 3347 1761 0 10:54 pts/0 00:00:00 grep telnet 
# 


另外 ， 还 可 以 用 以 下 命令 查看 一 下 Telnet 默认 的 23 号 端口 是 否 已 经 处 于 监听 状态 。 


# netstat -anlgrep :23 
tcp 0 050505050223 0.0.0.0:* LISTEN 


可 见 , 主机 所 有 网 络 接口 的 TCP23 号 端口 已 经 处 于 LISTEN 状态 , 这 是 运行 xinetd 进 
程 的 结果 。 为 了 使 用 网 络 中 其 他 主机 可 以 访问 本 机 的 TCP23 号 端口 ， 如 果 本 机 防火 墙 未 开 
放 该 端口 ， 可 以 用 以 下 命令 予以 开放 。 


# iptables --I INPUT -P tcp --dport 23 -j ACCEPT 


以 上 过 程 完成 后 ， 客 户 端 就 可 以 通过 Windows 下 的 PuTTY 与 本 机 建立 连接 了 。 具 体 方 
法 是 在 Windows 下 打开 PuTTY ,将 出 现 如 图 11-4 所 示 的 PuTTY Configuration 界面 .在 PuTTY 
Configuration 界面 输入 要 连接 的 服务 器 的 地 址 ，Connection type 选项 Telnet 将 出 现 如 图 11-5 
所 示 的 窗口 (192.168.127.130 是 按照 以 上 步骤 安装 的 telnet 服务 器 的 主机 IP 地 址 )。 

此 时 ， 可 以 输入 操作 系统 账号 的 用 户 名 和 密码 进行 登录 。 但 由 于 安全 方面 的 原因 ， 默 
认 情 况 下 ，root 用 户 是 不 能 登录 的 。 客 户 端 连接 进来 后 ， 在 服务 器 上 输入 以 下 命令 ， 可 以 
看 到 in.telnetd 进程 已 在 运行 。 

# ps -eaflgrep telnet 


root Sas STO 0 2 00:0000 In telnetd T01091.252 
root 5860 5092 0 22:54 pts/0 00:00:00 grep telnet 


如 果 有 多 个 客户 端 连接 进来 ， 就 会 看 到 有 多 个 进程 在 运行 。 因 为 每 一 个 客户 端的 连接 
都 需要 一 个 服务 器 进程 去 处 理 。 
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全 PuTTV Coniguration =， 


_ Basic optione for your PuTTY sersion 
Speciy the destnationyou want to cornect to 
Pot 


192.168127130 


ea Hat Enrerprise Linux Server release 6.3 (Santiago) 
lernel 2.6.32-279.e16.1686 on an 1686 
ogin: 


图 11-4 PuTTY Configuration 界面 图 11-5 Telnet 客户 端 与 服务 器 建立 连接 


11.1.7 Telnet 服务 器 软件 的 配置 


由 于 telnet 进程 是 在 xinetd 进程 的 控制 下 运行 的 ， 因 此 为 了 讲述 telent 服务 器 的 配置 ， 
需要 先 了 解 xinetd 的 配置 。xinetd 进程 的 主 配置 文件 为 /etc/xinetd.conf， 其 初始 内 容 如 下 。 

[root@localhost ~]# more /etc/xinetd.conf 

# 首先 定义 一 套 默 认 的 配置 , 作用 于 所 有 的 服务 。 如 果 某 一 服务 定义 了 自己 同样 的 配置 ,会 缆 盖 默认 


的 配置 
defaults 


{ 
# 通过 设置 以 下 选项 为 yes 或 no, 可 以 快速 启用 或 禁用 所 有 的 服务 (那些 服务 没有 自己 的 enable 


或 disable) 
# enabled = 
# disabled = 


# 定义 日 志 的 类 型 。 使 用 系统 日 志 ，daemon 设备 , info 级 别 的 日 志 
log_type = SYSLOG daemon info 


# 失败 时 ,记录 客户 机 的 IP 地 址 


log on failure = HOST 


# 成 功 时 ， 记 录 进 程 PID、 客 户 机 IP、 会 话 持续 时 间 、 进 程 终止 时 间 


log on success = PID HOST DURATION EXIT 


# 不 允许 访问 的 客户 机 列表 
# 


no_access Ey 


# 允许 访问 的 客户 机 列表 


# only_from = 


# 设置 最 大 的 负载 , 0 表示 不 限制 


# max load =0 
# 设置 最 大 连接 频率 。 下 面 的 设置 表示 如 果 达 到 了 50 次 / 秒 , 则 服务 要 暂停 10 秒 钟 
cps = 50 10 


# 设置 同时 工作 实例 数 为 50 


instances = 50 
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# 同一 个 客户 机 最 多 允许 10 个 连接 


per source = 10 
# 绑 定 到 某 一 网 络 接口 。 将 二 人 可 以 选择 只 在 某 些 接口 监听 
# bind 


# 只 在 支持 mdsn 服务 注册 的 系统 中 使 用 , RHEL 5 不 支持 


# mdns = yes 
# 表示 支持 Ipv4。 
v6only = no 


# setup environmental attributes 
# 把 某 些 环境 变量 传递 给 服务 器 


# passenv = 


# 使 用 用 户 组 的 权限 


groups = yes 


# 设 umask 值 ， Ct 


umask = 00. 
# 输 给 客户 端的 提示 信息 ， 放 企 -个 文件 中 ， 一 般 不 使 用 
# banner 
# banner fail = 
# banner_ success = 
} 


# 以 上 定义 的 是 默认 的 配置 。 下 面 指出 各 种 服务 自身 的 配置 放 在 /etc/xinetqd.d 目录 
ee /etc/xinetd.d 
各 种 由 xinetd 启动 的 服务 的 默认 配置 放 在 /etc/xinetd.conf 中 ， 每 一 种 服务 根据 情况 还 
要 定义 自己 独 有 的 配置 , 这 些 配置 文件 要 放 在 /etc/xinetd.d 目录 中 , 文件 名 就 是 服务 的 名 称 。 
可 以 查看 该 目录 下 有 哪些 文件 。 


# ls /etc/xinetd.d 


chargen-dgram daytime-dgram discard-stream rsync time-stream 
chargen-stream daytime-stream echo-dgram tcpmux-server 
cvs discard-dgram echo-stream time-dgram 


以 上 列 出 的 文件 均 是 可 以 由 inetd 启动 的 服务 的 配置 文件 ， 下 面 再 看 telnet 文件 中 配置 
的 解释 。 


service telnet  # 定 义 了 名 为 telnet 的 服务 ， 要 启用 /etc/services 文件 中 与 telnet 
对 应 的 23 号 端口 

# 下 面 的 ^{ }” 内 定义 telnet 服务 的 选项 , 如 果菜 个 选项 与 xinetd.conf 中 一 样 , 则 要 履 

盖 它 

{ 


flags = REUSE # 为 服务 设置 特定 的 标志 

socket type = stream # 套 接口 的 类 型 , stream 为 流 式 , 表示 使 用 TCP 
协议 

wait = no # 服务 进程 是 否 是 单线 程 , no 表示 是 多 线程 

user = root # 运行 服务 进程 的 用 户 身份 是 root 用 户 

server = /usr/sbin/in.telnetd # 服务 对 应 的 命令 文件 的 位 置 与 名 称 


log_on failure += USERID  # 当 和 失败 时 ,日 志 记录 的 内 容 。 其 值 表示 在 原来 基 
础 上 加 上 USERID 


“Ds 
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disable = no # 是 否 禁用 。no 表示 不 禁用 

由 于 telnet 的 配置 功能 比较 少 , 而 且 由 于 其 安全 性 比较 差 等 原因 ，Linux 系统 并 不 建议 
使 用 ， 因 此 不 再 举 有 关 telnet 的 配置 例子 。 最 后 ， 还 有 一 个 与 xinetd 相关 的 文件 是 
/etc/services， 在 这 个 文件 中 ， 包 含 了 每 一 种 服务 器 默认 的 监听 端口 。 例 如 ， 可 以 用 以 下 命 
令 查 看 为 telnet 服务 所 设置 的 监听 端口 。 

# cat /etc/services | grep telnet 


telnet 23/tcp 
telnet 23/udp 


可 见 ,为 telnet 服务 器 设置 的 监听 端口 是 23 号 .如 果 改 变 这 个 值 ,xinetd 进程 监听 telnet 
服务 时 的 监听 端口 将 会 发 生变 化 。 


全 注意 ;如 果 要 进行 测试 ， 防 火 墙 需要 开放 相应 的 端口 。 


11.2 架设 SSH 服务 器 


由 于 Telnet 等 远程 管理 工具 采用 明文 传送 密码 和 数据 ， 存 在 着 严重 的 安全 问题 。 因 此 
在 实际 应 用 中 并 不 推荐 使 用 , 而 是 使 用 经 过 加 密 后 才 传输 数据 的 安全 的 终端 。 本 节 介绍 SSH 
服务 器 的 安装 、 运 行 和 配置 方法 ， 以 及 如 何 使 用 SSH 客户 端 ， 以 便 在 不 安全 的 网 络 环境 下 
通过 加 密 机 制 来 保证 数据 传输 的 安全 。 


11.2.1 SSH 概述 


最 初 SSH 是 由 芬兰 的 一 家 公司 在 1995 年 开发 的 , 但 是 因为 受 版 权 和 加 密 算法 的 限制 ， 
后 来 很 多 系统 都 采用 了 OpenSSH。OpenSSH 完全 实现 了 SSH 协议 ， 而 且 开 放 代 码 ， 移 植 
性 好 ， 因 此 很 快 流行 起 来 ， 自 2005 年 以 来 一 直 是 SSH 领域 的 主流 软件 。 


1. SSH 的 特点 


Telnet、rlogin 等 传统 的 网 络 服务 程序 在 本 质 上 都 是 不 安全 的 。 因 为 它们 在 网 络 上 采用 明 
文 传送 密码 和 数据 , 攻击 者 通过 网 络 监听 等 方法 很 容易 地 就 可 以 截获 这 些 密码 和 数据 。 而 且 ， 
这 些 服 务 程序 的 安全 验证 方式 也 存在 着 漏洞 ， 很 容易 受到 “中 间 人 ”(Cman-in-the-middle) 这 
种 方式 的 攻击 。 


县 说明: 所 谓 中 间 人 攻击 ， 就 是 客户 端 和 服务 器 之 间 传送 的 数据 在 中 途 被 某 一 中 间 人 截 
获 ， 于 是 “中 间 人 ”就 冒充 真正 的 服务 器 接收 客户 端 传 给 服务 器 的 数据 ， 然 后 再 
冒充 客户 端 把 数据 传 给 真正 的 服务 器 . 服务 器 传 给 客户 端的 数据 也 同样 经 过 中 间 
人 的 转手 。 因 此 ， 数 据 在 传送 过 程 中 很 容易 被 中 间 人 做 手脚 ， 但 服务 器 和 客户 端 
却 一 无 所 知 ， 就 造成 了 很 严重 的 安全 问题 。 


SSH 的 英文 全 称 是 Secure Shell。 它 是 一 种 建立 在 TCP 之 上 的 网 络 协议 ， 人 允许 通信 双 
方 通过 一 种 安全 的 通道 交换 数据 ， 保 证 了 数据 的 安全 。SSH 不 仅 可 以 防止 类 似 中 间 人 的 攻 
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击 方式 、 防 止 DNS 和 人 Pp 欺骗， 而且 还 可 以 加 快 数据 传输 的 速度 。 因 为 通过 SSH 传输 的 数 
据 是 经 过 压缩 的 。 除 此 之 外 ，SSH 还 有 很 多 功能 ， 它 完全 可 以 代替 telnet， 而 且 还 可 以 为 
FTP、POP， 甚 至 PPP 等 协议 提供 一 个 安全 的 “通道 ”。 


2. SSH 的 版 本 


SSH 有 两 个 不 兼容 的 版 本 , 分 别 是 SSHI 和 SSH2.SSH2 的 客户 程序 是 不 能 连接 到 SSHI1 
的 服务 器 上 去 的 。SSH1 采用 DES、3DES、Blowfish 和 RC4 等 对 称 加 密 算法 保护 数据 安全 
传输 ， 而 对 称 加 密 算 法 的 密 钥 是 通过 非 对 称 加 密 算法 (RSA) 来 完成 交换 的 。SSH1 使 用 
循环 匈 余 校 验 码 CRC) 来 保证 数据 的 完整 性 ， 但 是 后 来 发 现 这 种 方法 有 缺陷 。SSH2 避免 
了 RSA 的 专利 问题 ， 并 修补 了 CRC 的 缺陷 , 它 采 用 数字 签名 算法 (DSA) 和 Diffie-Hellman 
(DH) 算法 代替 RSA 来 完成 对 称 密 钥 的 交换 ， 用 消息 证 实 代 码 (HMAC) 来 代替 CRC。 同 
时 ，SSH2 增加 了 AES 和 Twofish 等 对 称 加 密 算 法 。OpenSSH 2.x 同时 支持 SSH 1.x 和 2.x。 


3. SSH 的 安全 验证 


从 客户 端 来 看 ，SSH 提供 两 种 级 别 的 安全 验证 。 第 一 种 级 别 也 称 为 基于 口令 的 安全 验 
证 ， 只 要 知道 用 户 名 和 密码 ， 就 可 以 登录 到 远程 主机 。 所 有 传输 的 数据 都 会 被 加 密 ， 但 是 
不 能 保证 客户 端正 在 连接 的 服务 器 就 是 它 想 要 连接 的 那 台 服务 器 。 可 能 会 有 别 的 计算 机 冒 
充 真正 的 服务 器 ， 也 就 是 说 ， 这 种 方式 还 是 有 可 能 会 受到 中 间 人 的 攻击 。 

第 二 种 级 别 也 称 为 基于 密 古 的 安全 验证 ， 也 就 是 客户 机 必须 创建 一 对 密 匙 ， 并 把 公用 
密 匙 放 在 需要 访问 的 服务 器 上 。 当 客户 端 与 SSH 服务 器 连接 时 ， 客 户 端 会 向 服务 器 发 出 请 
求 ， 要 求 用 密 匙 进行 安全 验证 。 服 务 器 收 到 请 求 后 ， 就 要 到 登录 的 用 户 的 个 人 目录 下 寻找 
对 应 的 公用 密 匙 ， 然 后 把 它 和 客户 端 发 送 过 来 的 公用 密 匙 进行 比较 。 如 果 两 个 密 匙 一 致 ， 
服务 器 就 用 公用 密 匙 加 密 “ 和 凭据 ”(challenge) 并 把 它 发 送 给 客户 端 。 客 户 端 软件 收 到 凭据 
之 后 ， 就 可 以 用 私人 密 匙 解密 再 把 它 发 送 给 服务 器 ， 从 而 完成 了 安全 验证 。 

采用 第 三 种 方式 时 ， 用 户 必须 知道 自己 密 匙 的 密码 ， 但 远程 操作 系统 上 的 用 户 密码 无 
需 输 入 ， 因 此 也 就 不 需要 在 网 络 上 传送 密码 了 。 另 外 ， 由 于 其 他 计算 机 没有 私人 密 匙 ， 也 
就 不 可 能 实施 中 间 人 攻击 了 。 


11.2.2 OpenSSH 服务 器 的 安装 和 运行 


在 Red Hat Enterprise Linux 6 下 安装 OpenSSH 服务 器 可 以 有 两 种 方式 ， 一 种 是 源 代码 
方式 安装 , 另 一 种 是 RPM 软件 包 方 式 安装 。 源 代码 可 以 从 http://download. 用 chinaunix.net/ 
download/0008000/7713.shtml 处 下 载 , 目前 最 新 的 版 本 是 6.1p1 版 , 文件 名 是 tar zxvf openssh- 
6.1pl:targz。RHEL 6 自 带 的 OpenSSH 版 本 是 5.3p1 版 ， 文 件 名 是 openssh-server-5.3p1- 
81.e16.1686。 

如 果 采 用 源 代码 方式 安装 ， 则 下 载 tar zxvf openssh-6.1pl.tar.gz 文件 到 当前 目录 后 ， 使 
以 下 命令 进行 安装 。 


#tar zxvf openssh-6.1pl.tar.gz // 解 压 源 代码 文件 包 , 到 openssh-5.1p1 目录 中 
# cd openssh-6.1pl 

# ./configure // 产 生 Makefile 文件 

# make // 编 译 链接 
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# make install // 把 各 种 文件 复制 到 相应 的 系统 目录 


下 面 介 绍 RPM 方式 的 安装 。 一般 情况 下 ， 当 安装 RHEL 6 系统 安装 时 , 默认 都 会 把 所 
有 的 OpenSSH 包 安装 进来 。 如 果 由 于 某 种 原因 没有 安装 ,或 者 这 些 包 丢失 了 ， 可 以 重新 安 
装 。 此 时 ， 需 要 从 安装 光盘 把 下 列 文件 复制 到 当前 目录 。 

DD openssh-server-5.3p1-81.e16.1686; 

口 openssh-askpass-5.3p1-81.e16.1686; 

口 openssh-5.3p1-81.e16.i686; 

口 openssh-clients-5.3p1-81.e16.1686。 

以 上 文件 中 根据 名 称 可 以 知道; 第 一 个 是 服务 器 SSH 软件 ， 第 二 个 是 有 关 密 码 对 话 
框 的 库 ， 第 三 个 是 基础 包 ， 第 四 个 是 客户 端 SSH 软件 。 下 面 对 这些 包 进行 安装 。 


# rpm -ivh server-5.3p1-81.e16.1686.rpm 

# rpm -ivh openssh-askpass-5.3pl-81.e16.i686.rpm 
# rpm -ivh openssh-5.3pl-81.e16.i686.rpm 

# rpm -ivh openssh-clients-5.3pl-81.e16.i686.rpm 


实际 上 ， 当 安装 这 些 包 时 ， 还 需要 OpenSSL 等 RPM 包 的 支持 ， 如 果 还 没有 安装 的 ， 
也 需要 事先 安装 。 当 安装 成 功 后 ， 有 关 SSH 服务 器 软件 的 几 个 重要 文件 分 布 如 下 所 示 。 
/etc/pam.d/sshd: sshd 的 PAM 认证 配置 文件 。 
/etc/re.d/init.d/sshd: sshd 的 开机 自动 运行 脚本 。 
/etc/ssh/sshd_config: sshd 的 主 配置 文件 。 
/usr/libexec/openssh/sftp-server: 实现 sftp 协议 的 服务 端 程序 。 
/usr/sbin/sshd: sshd 的 命令 文件 。 
/usr/share/man/man5/sshd_config.5.gz: sshd_config 的 帮助 手册 页 。 
/usr/share/man/man8/sshd.8.gz: sshd 的 帮助 手册 页 。 

下 面 以 RPM 包 安 装 为 例 介绍 OpenSSH 的 运行 与 配置 。 当 RPM 安装 完成 后 ， 其 初始 
的 主 配 置 文件 /etc/ssh/sshd_config 已 经 可 以 使 sshd 运行 ， 并 能 正常 地 提供 服务 。 在 root 用 
户 下 ， 可 以 输入 以 下 命令 运行 sshd 进程 。 


# /sbin/service sshd start 
以 上 命令 要 调用 /etc/re.d/init.d/sshd 脚本 运行 sshd 进程 。 当 第 一 次 运行 时 ， 会 在 /etc/ssh 
创建 3 对 主机 密 钥 文 件 。 当 客户 端 连 接 进 来 时 ， 如 果 要 登录 的 用 户 没 有 自己 的 密 钥 ， 则 服 
务 器 会 使 用 这 里 的 密 钥 与 客户 端 进行 通信 。 
全 注意 ; 初次 运行 时 如 果 用 /usr/sbin/sshd 命令 直接 运行 ， 将 不 会 创建 主机 密 钥 ， 从 而 使 进 
能 


程 不 能 运行 。 


OOOOODODO 


下 面 看 这 些 密 钥 文 件 。 


# 1s ssh host* 
ssh host dsa key ssh host key ssh host rsa key 
ssh host dsa key.pub ssh host key.pub ssh host rsa key.pub 


如 果 想 开机 时 能 自动 运行 sshd， 可 以 在 合适 的 启动 目录 建 一 个 Linux 启动 文件 ， 使 之 
调用 /etc/re.d/init.d 目录 下 的 sshd 脚本 文件 。 用 以 下 命令 可 以 查看 sshd 进程 是 否 已 启动 。 
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[root@localhost ssh]# ps -eaf | grep sshd 
root 18765 | Ot GT 00:00:00 /usr/sbin/sshd 


root 18981 18732 ‘0 21:29 pts/1 00:00:00 grep sshd 
# 


可 以 看 到 , 名 为 /usr/sbin/sshd 的 进程 已 经 启动 , 并 且 以 root 用 户 的 身份 运行 。 再 看 SSH 
默认 的 端口 是 否 已 经 处 于 监听 状态 ， 输 入 以 下 命令 : 


# netstat -anlgrep :22 
tcp 0 wb 本 8 人间 LISTEN 


如 果 看 到 以 上 一 行 ， 说 明 TCP 的 22 号 端口 已 经 处 于 监听 状态 ， 它 就 是 sshd 监听 的 端 
口 。 为 了 确保 客户 端 能 够 访问 SSH 服务 器 ， 如 果 防 火 墙 未 开放 22 号 端口 ， 可 以 输入 以 下 
命令 开放 22 号 端口 。 


# iptables -I INPUT -p tcp --dport 22 -j ACCEPT 
# iptables -I INPUT -P udp --dport 22 -j ACCEPT 


或 者 用 以 下 命令 清空 防火 墙 的 所 有 规则 。 

# iptables -F 

上 述 过 程 完成 后 ， 就 可 以 通过 客户 端 连接 到 SSH 服务 器 了 。 
11.2.3 SSH 客户 端的 使 用 


SSH 服务 器 安装 完成 后 ， 需 要 SSH 客户 端 软件 与 之 进行 连接 ， 然 后 客户 端 就 可 以 对 
SSH 服务 器 所 在 的 主机 进行 远程 管理 了 。 在 Red Hat Enterprise Linux 6 下 ， 安 装 SSH 客户 
py 其 RPM 包 的 名 称 为 openssh-clients-5.3p1-81.el6.i686.rpm， 可 以 用 以 下 命令 查看 该 包 所 

包含 的 文件 。 


[root@localhost ssh]# rpm -ql openssh-clients-5.3pl-81.e16.i686.rpm 


/etc/ssh/ssh config //ssh 的 配置 文件 
/usr/bin/scp // 代 替 rcp 的 安全 命令 
/usr/bin/sftp //sftp 客户 端 
/usr/bin/slogin // 代 替 rlogin 的 安全 命令 
/usr/bin/ssh /1/SSH 客户 端 命令 文件 
/usr/share/man/man1/... // 帮 助手 册页 文件 


其 中 ，/usr/bin/ssh 是 OpenSSH 客户 端的 命令 文件 ，/etc/ssh/ssh_config 是 它 的 主 配 置 文 
件 。 与 Telnet 客户 端 不 一 样 ， 使 用 SSH 客户 端 命令 时 ， 需 要 事先 指定 在 远程 机 上 登录 的 用 
户 名 ， 可 以 通过 -1 选项 指定 ， 也 可 以 以 “< 用 户 名 >@< 主 机 名 >” 的 形式 指定 。 


全 注意 : 如 果 不 指 定 用 户 名 ， 则 默认 以 本 机 的 当前 用 户 名 登录 远程 
下 面 是 具体 的 例子 。 


[abc@localhost ~]$ ssh -1 bob 192.168.127.130 

The authenticity of host '192.168.127.130 (192.168.127.130)' can't be 
established. 

RSA key fingerprint is db:c7:94:10:bf:4e:52:6d:34:aa:dd:f5:3a:8e:a6:c3. 
Are you sure you want to continue connecting (yes/no)? yes 


// 要 输入 yes 确认 
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Warning: Permanently added '192.168.127.130' (RSA) to the list of known 


hosts. 

bob@192.168.127.130's password: // 输 入 abc 用 户 的 密码 

Last login: Fri Sep 21 12:28:35 2012 from 192-1685127-130 
[bobelocalhost ~]$ // 现 在 的 位 置 是 在 192 .168.127.130 上 


上 述 命令 是 在 IP 地 址 为 192.168.127.130 的 计算 机 上 ， 以 abc 用 户 的 身份 运行 的 ， 它 
使 用 bob 用 户 名 安全 登录 到 192.168.127.130。 当 初始 登录 时 ， 通 信 双 方 都 没有 对 方 的 公共 
密 钥 。 因 此 ， 服 务 器 会 提示 客户 端 连接 可 能 会 是 假冒 的 ， 需 要 用 户 确认 。 当 用 户 确认 后 ， 
会 在 本 机 用 户 的 个 人 目录 下 的 .ssh 目录 下 创建 一 个 名 为 known_hosts 的 文件 ， 里 面包 含 了 
对 方 主机 的 名 称 及 发 过 来 的 公共 密 钥 。 可 以 在 192.168.127.130 计算 机 上 输入 以 下 命令 查看 
这 个 文件 的 内 容 。 

$ cat /home/abc/.ssh/known hosts 

192.168.127.130 ssh-rsa AAAAB3NzaClyc2EAAAABIwAAAQOEANE+3xsHN9rzm5hL68D7 

UVHXFQpSCimRXanBLgpG8QoTazqTfeG7m/KkKS/MuSFeQMGH4O0SxQ6XO+D5K/0qMzd5veqS 

2V2mPPIFsjxdn22v0/luscVHS5qtWh4ZenlKlSu2dpafKfdYx2pIN5XCGIIboSrn7z7GnLFjJ 

sU8h/SxXIjBfeLe4Kd3lbUZn2SVgaMa0QR6mJOEcDVUdcZY//3CwygNhAY4g1+pX/xmtdotC 


gkJotfWlIywAna2Clk6E7hmnofHSar3gr6amJ0b02FOUJoEZFwZilzryh3ebOHwdlouxQ+V 
PVOt/zuhJC1IMr1lpFQCil8or2ryXQkeKwsHfR3Qw== 


其 中 ，192.168.127.130 表示 对 方 主机 的 地 址 ，ssh-rsa 指 公 共 密 钥 的 算法 ， 随 后 是 公共 
密 钥 内 容 。 有 了 这 些 内容 后 ，abc 用 户 以 后 将 信任 对 方 ， 下 次 与 192.168.127.130 连接 时 将 
不 要 出 现 警 告 提示 。 


全 注意 ! 如 果 192.168.127.130 上 的 SSH 换 了 一 对 密 钥 ，abc 用 户 与 对 方 的 连接 将 会 失败 。 


上 述 登 录 实 际 上 是 SSH 登录 的 第 一 种 方式 。 也 就 是 说 ， 公 共 密 钥 是 由 服务 器 提供 给 客 
户 端的 ， 当 在 客户 端 登 录 时 ， 还 需要 输入 要 登录 用 户 的 密码 。 还 可 以 采用 第 二 种 方式 登录 ， 
此 时 ,公共 密 钥 由 客户 端 提 供给 服务 器 ,而 私人 密 钥 则 是 由 客户 端的 某 一 用 户 保留 。 因 此 ， 
需要 先 创建 密 钥 对 。 在 RHEL 6 中 ， 可 以 用 以 下 步 又 创建 密 钥 对 。 


[os@radius os]$ ssh-keygen -t rsa 
[abc@localhost ~]$ ssh-keygen -t rsa 
Generating public/private rsa key pair. 
Enter file in which to save the key (/home/abc/.ssh/id rsa): 

// 确 定 密 钥 对 的 存盘 位 置 , 按 下 Enter 键 
Enter passphrase (empty for no passphrase) : // 设 定 私 钥 的 密码 
Enter same passphrase again: // 再 确认 一 次 密码 
Your identification has been saved in /home/abc/.ssh/id rsa. 
Your public key has been saved in /home/abc/.ssh/id rsa.pub. 
The key fingerprint is: 
le:7d:b9:77:cc:12:£2:81:d5:8e:ae:c2:9d:75:84:;£6 abc@localhost 
[abc@localhost ~]$ 


通过 以 上 命令 产生 密 钥 时 ， 所 采用 的 加 密 算法 是 RSA。 如 果 希 望 采用 DSA 算法 产生 
密 钥 ， 可 以 用 “ssh-keygen-tdsa” 命 令 。 以 上 步骤 完成 后 ， 会 在 home/abc/.ssh 目录 下 出 现 
id rsa 和 id_rsa.pub 两 个 文件 , 分 别 是 产生 的 私 钥 和 公 钥 。 还 有 ， 这 里 所 设 的 密码 是 私 钥 的 
密码 ， 可 以 为 空 。 命 令 完 成 后 ， 可 以 查看 所 产生 的 文件 。 


[abc@localhost ~]$ ls -1 /home/abc/.ssh/ 
总 用 量 12 


a 
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-ITw------ 一 . 1 abc abc 1766 9 月 21 12:45 id rsa 
-rw-r--r--. 1 abc abc 395 9 月 21 12:45 id rsa.pub 
-rw-r--r--. 1 abc abc 397 9 月 21 12:39 known hosts 


abc@localhost ~]$ 


为 了 使 用 基于 私 钥 的 安全 验证 ， 需 要 把 所 产生 的 公 钥 传 给 192.168.127.130 主机 上 的 


abc 


户 ， 可 以 通过 FTP 办 法 上 传 ， 也 可 以 采用 其 他 方法 。 下 面 的 步骤 由 192.168.127.130 


主机 上 的 abc 用 户 完 成 。 首 先 查看 个 人 目录 中 的 文件 ， 应 该 可 以 看 到 由 192.168.127.130 传 


与 其 


的 内 


的 id_rsa.pub。 


abc@localhost ~]$ 1s -1 /home/abc/.ssh/ 


总 用 量 12 
=rW-r=-r==. 1 abc abc 395 9 月 21 12:45 id rsa.pub 


然后 在 个 人 目录 下 创建 一 个 .ssh 目录 ， 并 把 权限 值 改 为 700〈 如 果 abc 用 户 作 为 客户 端 
他 SSH 服务 器 连接 过 ,自动 会 有 该 目录 ， 此 时 无 需 创 建 ), 然后 把 两 个 公 钥 文 件 移 进去 。 
[abc@localhost ~]$ mkdir .ssh 

[abc@localhost ~]$ chmod 700 .ssh 

[abc@localhost ~]$ mv id rsa.pub ./.ssh 

[abc@localhost ~]$ cd .ssh 

[abc@localhost .ssh]$ 1s 

id rsa.pub 


sshd 服务 默认 的 用 户 个 人 公 钥 文件 名 是 authorized keys。 因 此 ， 需 要 把 公 钥 id_rsa.pub 
容 放 到 该 文件 中 ， 并 要 把 它 的 权限 值 改 为 600。 


[abc@localhost .ssh]$ cat id rsa.pub >> authorized keys 
[abc@localhost .ssh]$ chmod 600 authorized_keys // 必 须要 改 权 限 , 否则 不 能 工作 


至 此 ， 服 务 器 端的 工作 已 经 全 部 完成 。 下 面 再 回 到 客户 端 进行 操作 。 


[abc@localhost ~]$ ssh -1 bob 192.168.127.130 

Enter passphrase for key '/home/abc/.ssh/id rsa': // 输 入 私 钥 的 密码 
Last login: Tue Nov 25 23:47:57 2012 from 192.168.127.130 
[abc@localhost ~]$ 


可 以 看 到 ， 客 户 端 不 需要 输入 abc 用 户 的 密码 即 可 登录 。 在 以 上 步骤 中 所 输 的 密码 是 


私 钥 的 密码 , 如果 前 面 用 ssh-keygen 命令 创建 私 钥 时 没有 设置 密码 , 则 此 处 也 不 需要 密码 ， 
直接 就 以 用 户 abc 的 身份 登录 到 192.168.127.130 主机 。 


下 面 总 结 SSH 客户 端 登录 的 过 程 。 当 客户 端 与 sshd 服务 器 建立 连接 时 ， 需 要 事先 提 


供 放 


户 名 ， 于 是 sshd 就 到 该 用 户 个 人 目录 下 的 .ssh 目录 查找 是 否 有 authorized_keys 文件 ， 


里 面包 含 的 是 一 个 公 钥 。 如 果 找 到 了 ， 就 通过 该 公 钥 加 密 一 个 凭据 发 送 给 客户 端 。 当 客户 


端 接收 到 凭据 后 ， 就 根据 算法 查找 当前 用 户 个 人 目录 下 的 .ssh 目录 中 是 否 有 id_rsa (或 
id_dsa) 文件 ， 里 面包 含 了 私 钥 。 如 果 找 到 了 ， 就 用 该 私 钥 解密 凭据 ， 再 发 送 给 服务 器 。 
服务 器 再 比较 收 到 的 凭据 是 否 和 刚才 发 送 的 一 样 ， 如 果 一 样 ， 就 认为 是 合法 的 用 户 ， 直 接 
让 他 登录 。 


如 果 sshd 在 要 登录 用 户 的 个 人 目录 下 找 不 到 authorized keys 文件 , 就 向 客户 端 发 送 一 


个 自己 的 公 钥 ， 这 个 公 钥 位 于 /etc/ssh 目录 。 客 户 端 如 果 是 第 一 次 登录 的 ， 就 把 该 公 钥 加 入 
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到 个 人 目录 下 .ssh 目录 中 的 known_hosts 文件 中 ， 再 通过 该 公 钥 与 服务 器 进行 通信 。 此 时 ， 
要 提供 密码 。 


11.2.4 配置 OpenSSH 客户 端 


11.2.3 节 讲 述 了 OpenSSH 客户 端的 使 用 方法 ， 当 时 的 ssh 是 在 初始 配置 下 运行 的 。 如 
果 希 望 ssh 工作 在 特定 的 状态 下 ， 则 需要 改变 ssh 的 初始 配置 。ssh 的 配置 文件 在 /etc/ssh 日 
录 ， 文 件 名 为 ssh_config， 初 始 配置 文件 里 包含 了 大 部 分 常见 的 配置 指令 。 下 面 对 这 些 配 
置 指令 做 解释 。 在 ssh_config 文件 中 ， 每 一 行 都 以 “关键 词 ” 值 ”的 形式 存在 。 其 中 ， 关 


键 词 是 


忽略 大 小 写 的 。 还 有 ， 每 一 行 “# ”后 面 的 字符 是 注释 。 


[root@localhost ssh]# more ssh config 


# 
# 
# 


# 
# 


大 砷 


Host 指令 指出 一 个 计算 机 范围 ,随后 的 配置 指令 只 对 这 个 范围 内 的 计算 机 有 效 , 直到 碰 到 下 一 
个 Host 指令 为 止 
“*” 表 示 所 有 的 计算 机 


Host * 


设置 与 认证 代理 的 连接 是 否 转发 给 远程 计算 机 


ForwardAgent no 


使 用 Xxwindow 的 用 户 是 否 想 自动 地 把 X11 会 话 通过 安全 通道 和 DISPLAY 设置 重 定向 到 远程 
主机 
对 于 不 使 用 图 形 界面 的 计算 机 就 应 该 设 为 no 


FEorwardX11 no 


设置 是 否 使 用 经 过 RSA 认证 的 rhosts 
RhostsRSAAuthentication no 


设置 是 否 允 许 使 用 RSA 认证 。 为 了 使 会 话 更 安全 , 应 该 设 为 yes 
RSAAuthentication yes 


设置 是 否 应 该 使 用 基于 密码 的 认证 


PasswordAuthentication yes 


设置 是 否 使 用 经 过 公 钥 认证 的 rhosts 


HostbasedAuthentication no 


设置 是 否 交互 式 输入 用 户 名 和 密码 , no 表示 使 用 交互 式 输入 。 在 用 脚本 自动 登录 时 , 应 该 设 为 
yes 
BatchMode no 


设置 是 否 对 主机 IP 地 址 进行 额外 地 检查 以 防止 DNS 欺骗 
CheckHostIP yes 


设置 使 用 Ipv4 还 是 Ipv6 
AddressFamily any 


设置 与 服务 器 连接 时 的 超时 值 


ConnectTimeout 0 


设置 是 否 把 新 连接 的 主机 加 到 ./. ssh/known_ hosts 文件 中 , ask 表示 让 用 户 选 择 
StrictHostKeyChecking ask 


第 11 章 ”远程 管理 Linux 


# 设置 从 哪个 文件 读 取 用 户 的 RSA 安全 验证 标识 ,可 以 设置 多 个 

# IdentityFile ~/.ssh/identity 

# IdentityFile ~/.ssh/id rsa 

# IdentityFile ~/.ssh/id dsa 

# ”确定 连接 到 远程 主机 的 哪 一 个 端口 号 

# Port 22 

# ”以 哪 一 种 次 序 支持 协议 版 本 。"2,1" 表 示 先 试 着 用 SSH2, 如 是 失败 ， 则 试用 SSH1 
# Protocol 2,1 

# 设置 SSH2 允许 使 用 的 加 密 算 法 。 列 出 的 各 种 算法 按 次 序 被 选用 

# Cipher 3des 

# Ciphers aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,aes192- 


cbc,aes256-cbc 


# ”使 用 哪个 字符 作为 Esc 键 
# EscapeChar ~ 


是 否 使 用 隧道 设备 。no 表示 不 使 用 


# 
# Tunnel no 


强制 使 用 某 一 隧道 设备 。any :any 表示 任何 可 用 的 设备 


TunnelDevice any:any 


# 
# 


是 否 允许 在 ssh 中 执行 本 地 命令 


PermitLocalCommand no 


# 
# 
# 此 处 的 Host 设 定 了 另 一 个 主机 范围 ,后 面 的 配置 只 对 这 个 范围 起 作用 


Host * 


# 确定 是 否 允 许 使 用 基于 GSSAPI 的 用 户 认证 ,只 用 于 SSH2 
GSSAPIAuthentication yes 


# 远程 X11 客户 端 是 否 对 原来 的 X11 显示 有 完全 的 控制 权 
ForwardxllTrusted yes 


# 确定 把 哪些 本 地 变量 发 送 给 服务 器 ， 只 用 于 SSH2 
SendEnv LANG LC CTYPE LC NUMERIC LC TIME LC COLLATE LC MONETRRY 
LC_MESSAGES 
SendEnv LC PAPER LC NAME LC ADDRESS LC TELEPHONE LC MEASUREMENT 
SendEnv LC_ IDENTIFICATION LC ALL 


以 上 是 ssh 工作 时 初始 配置 文件 内 容 的 解释 。 其 中 大 部 分 配置 指令 是 被 注释 掉 的 ， 可 
以 根据 需要 予以 启用 。 另 外 , 还 有 很 多 配置 指令 在 初始 配置 文件 中 没有 出 现 , 可 以 通过 “man 
ssh_config” 命 令 查看 手册 页 得 到 。 


各 说明: 有 些 配 置 指令 的 功能 可 以 通过 ssh 的 命令 行 参数 实现 ， 具 体 可 以 查看 ssh 的 手 
册页 。 


11.2.5 OpenSSH 的 端口 转发 功能 


在 实际 应 用 中 ， 有 很 多 的 网 络 程序 要 通过 TCP/IP 进行 数据 传输 。 例 如 Telnet、FTP、 
POP3 等 ， 受 到 协议 本 身 的 限制 ， 这 些 数据 传输 往往 是 不 安全 的 。 利 用 SSH 的 端口 转发 功 
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能 ， 可 以 对 这 些 网 络 程序 在 各 种 TCP 端口 上 建立 的 TCP/IP 数据 传输 进行 加 密 和 解密 ， 而 
且 这 个 过 程 的 绝 大 多 数 操作 对 用 户 来 说 都 是 透明 的 ， 功 能 非常 强大 。 也 就 是 说 ， 只 要 将 其 
连接 通过 SSH 转发 ， 就 可 以 使 一 些 基 于 TCP 的 不 安全 的 协议 都 变 得 安全 可 靠 。 


全 说 明 : 端口 转发 有 时 也 称 为 隧道 传输 。 


下 面 看 如 何 使 Telnet 通过 SSH 转发 访问 远程 主机 的 例子 。 

假设 有 两 台 计 算 机 ， 一 台 是 运行 了 Telnet 服务 器 的 主机 ，IP 地 址 为 192.168.2.111; 另 
一 台 是 使 用 Telnet 服务 的 客户 机 ，IP 地 址 是 192.168.2.100。 两 台 计 算 机 的 防火 墙 都 处 于 关 
闭 状态 。 在 192.168.2.100 上 使 用 telnet 命令 可 以 远程 登录 到 192.168.2.111, 如 图 11-6 所 示 。 
画 Telnet 192.168.2.111 [= 


ed Hat Enterprise Linux Server release 6.3 《Santiago》 
‘ernel 2.6.32-279.e16.i686 on an i686 


st login: Sun Sep 23 98:59:27 fron localhost 
Cabcelocalhost ~]$ 


图 11-6 客户 机 按 一 般 方法 登录 Telnet 服务 器 


上 图 中 是 使 用 一 般 方法 登录 ,数据 在 网 络 中 传输 时 是 没 经 过 加 密 的 。 现 在 希望 通过 SSH 
转发 登录 到 192.168.2.111 服务 器 , 一 种 方法 是 在 客户 机 ,也 就 是 192.168.2.100 上 执行 以 下 
命令 : 


[root@localhost ~]# ssh -L 2323:192.168.2.100:23 root@192.168.2.100 


以 上 命令 的 作用 是 通过 SSH 以 root 用 户 身 份 登录 到 192.168.2.111 上 去 。 同 时 ,，“-L” 
表示 是 本 地 转发 ，2001:192.168.2.11:143 表示 将 到 本 地 2001 号 端口 的 连接 转发 到 服务 器 
192.168.2.111 的 23 号 端口 ，23 号 端口 是 Telnet 的 默认 端口 。 在 退出 SSH 之 前 ，SSH 端口 
转发 功能 一 直 有 效 。 为 了 测试 结果 ， 需 要 通过 另 一 个 终端 进行 ， 因 为 图 11-6 所 示 的 终端 此 
时 是 登录 在 192.168.2.111 上 的 。 

到 了 192.168.2.100 的 另外 一 个 终端 后 ， 可 以 先 输入 以 下 命令 ， 查 看 2323 号 端口 是 否 
已 处 于 监听 状态 。 

[root@radius os]# netstat -an | grep :2323 


tcp 0 0 127 D002323 0.0.0.0:* LISTEN 
[root@radius os]# 


然后 再 通过 如 图 11-7 所 示 的 方法 进行 测试 。 

在 图 11-7 中 ， 客 户 机 输入 的 命令 是 “telnet 127.0.0.1 2323 ” 也 就 是 跟 本 机 的 2323 号 
端口 进行 连接 。 虽 然 本 机 的 23 号 端口 没有 提供 Telnet 服务 , 但 前 面 已 经 设置 了 SSH 转发 ， 
连接 到 本 机 2323 号 端口 的 连接 都 要 转发 到 192.168.2.111 上 去 ， 而 且 是 经 过 加 密 的 通道 。 
因此 ， 当 执行 上 述 命令 时 ， 实 际 上 是 跟 192.168.2.111 的 23 号 端口 进行 连接 ， 因 此 能 够 成 
功 地 连 上 ， 并 以 abc 的 用 户 名 登录 。 
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[root8localhost ~]# telnet 127.0.0.1 2323 

Trying 127.0.0.1... 

Connected to 127.0.0.1. 

Escape character is '~]'. 

Red Hat Enterprise Linux Server release 6.3 (Santiago) 
Kernel 2.6.32-279.e16.1686 on an i686 

login: abc | 
Password: 

last login: Sun Sep 23 08:54:39 from 192.168.2.100 
[abc@localhost ~]$ [| | 


J 


图 11-7 客户 机 通过 SSH 转发 登录 到 Telnet 服务 器 


外 说 明 : 图 11-6 所 示 的 命令 也 可 以 在 配置 文件 ssh_ config 中 加 入 “LocalForward 2323 
192.168.2.111:23” 配 置 指令 进行 设置 。 与 SSH 端口 转发 功能 有 关 的 还 有 一 个 -g 
选项 ， 它 表示 允许 除 本 机 以 外 的 其 他 计算 机 使 用 转发 功能 。 出 于 安全 问题 ， 应 该 
禁止 这 个 功能 。-g 选项 的 功能 也 可 以 通过 “GatewayPorts yeslno” 配 置 指令 进行 
设置 。 
以 上 例子 讲述 的 实际 上 是 本 地 转发 ， 还 可 以 通过 远程 转发 实现 同样 的 功能 。 关 键 的 区 
别 是 当 远程 转发 时 ，SSH 转发 命令 应 该 在 服务 器 上 进行 ， 也 就 是 说 ， 要 在 192.168.2.111 上 
执行 以 下 命令 。 
# ssh -R 2323: 192.168.2.111:23 root@192.168.2.100 


以 上 命令 中 ，-R 表示 进行 远程 转发 ， 也 就 是 把 到 远程 机 (现在 是 192.168.2.100) 2323 
号 端口 的 连接 转发 到 本 机 (现在 是 192.168.2.111) 的 23 号 端口 。 此 时 ， 在 192.168.2.100 
上 通过 telnet 127.0.0.1 2323 进行 测试 ， 可 以 得 到 同样 的 效果 。 

除了 端口 转发 以 外 ，OpenSSH 还 可 以 提供 X11 转发 功能 ， 即 让 X11 协议 数据 通过 隧 
道 转发 。 如 果 客 户 端 是 在 图 形 界面 下 工作 的 ， 就 可 以 通过 ssh 连接 到 远程 系统 ， 在 ssh 提 
示 符 后 面 输入 一 条 X11 命令 ，OpenSSH 就 会 创建 一 条 新 的 安全 通道 来 承载 X11 数据 。 此 
时 ， 虽 然 X11 程序 是 在 服务 器 上 运行 的 ， 但 它 图 形 化 输出 会 到 客户 机 屏幕 上 ， 其 效果 就 像 
是 在 本 地 运行 一 样 。 
11.2.6 ”Windows 下 的 SSH 客户 端 


除了 Linux 下 的 ssh 命令 以 外 , 在 Windows 平台 下 也 有 很 多 的 SSH 客户 端 软件 , 例如 
Secure CRT、SSH Shell、PuTTY 等 ， 都 以 图 形 界面 的 形式 实现 了 SSH1 和 SSH2 协议 ， 同 
时 还 附加 了 其 他 一 些 功 能 。 下 面 以 PuTTY 为 例 介绍 这 类 软件 的 使 用 .与 其 他 同类 软件 相 比 ， 
Putty 具有 以 下 特点 。 

口 完全 免费 ， 还 同时 支持 telnet。 

口 全 面 支持 sshl 和 ssh2。 

口 绿色 软件 ， 无 需 安装 ， 直 接 运行 即 可 。 

口 容量 很 小 仅 几 百 KB。 
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口 操作 简单 ， 所 有 的 操作 都 在 一 个 控制 面板 中 实现 。 

从 http:/www.chiark.greenend.org.uk/~sgtatham/putty/download.html 处 下 载 putty.exe 文 
件 后 ， 直 接 双击 运行 ， 将 出 现 如 图 11-8 所 示 的 主 界面 。 

当 出 现 主 界面 后 , 可 以 输入 主机 的 名 称 或 IP 地 址 进行 登录 。 如果 是 初次 与 这 人 台 主 机 连 
接 ， 将 出 现 如 图 11-9 所 示 的 对 话 框 ， 警 告 所 连接 的 主机 不 能 保证 是 真正 要 连 的 对 象 。 

此 时 ， 单 击 “ 是 ”按钮 ， 这 台 主 机 会 加 到 已 知 主机 列表 ， 以 后 再 连接 时 不 会 再 出 现 这 
个 对 话 框 。 然 后 ， 会 出 现 一 个 登录 窗口 ， 可 以 使 用 用 户 账号 进行 登录 ， 如 图 11-10 所 示 。 

此 时 , 就 可 以 输入 命令 对 所 登录 的 主机 进行 远程 管理 了 。 以 上 介绍 的 是 密码 登录 方式 ， 
即 客户 端 使 用 服务 器 提供 的 公 钥 进行 登录 。 下 面 再 看 密 钥 登 录 方式 ， 即 客户 端 使 用 私 钥 ， 
不 需要 输入 密码 就 能 登录 ， 上 具体 步骤 如 下 所 示 。 


鳗 nrry Configuration ee x) 
Category; 
日 Sesson ] Basic optionsforyour PuTTY session 
下 Specfy the destnabon you want to connect to 
Keyboard Host Name (or IP address) 
Bell | 22 
Features Connection type: 由 
© Wndow Raw © Tenet © Rogn @ SSH © seral 


Load. save or delete a stored sesson The server's host key is not cached in the registry, You 
ve no guarantee that the server is the computer you 


BN ||[ ms 


图 11-8 PuTTY 主 界面 图 11-9 PuTTY 与 一 台 主机 初次 连接 时 的 警告 对 话 框 


EE 


login as: abc 
labc@192.168.2.111's password: 

Last login: Sun Sep 23 08:59:32 2012 from localhost 
[abc@localhost ~]$ 


图 11-10 PuTTY 登录 成 功 后 的 界面 


(1) 从 http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html 处 下 载 puttygen.exe 
程序 文件 ， 这 个 程序 的 作用 是 产生 一 对 密 钥 。 运 行 后 ， 出 现 如 图 11-11 所 示 的 界面 。 

(2) 为 了 增强 加 密 效 果 ， 把 右 下 角 的 位 数 1 024 改 为 2 048， 再 单 击 Generate 按钮 ， 稍 
等 片刻 ， 会 出 现 如 图 11-12 所 示 对 话 框 。 


全 注意 : 单 击 Generate 按钮 后 ， 和 鼠标 要 在 Key 框 内 的 空白 处 移动 ， 以 产生 算法 使 用 的 随 
机 数 。 


(3) 通过 Save public key 和 Save private key 按钮 分 别 把 公 钥 和 私 钥 保存 到 磁盘 ， 再 关 


a 
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File Key Conversions Help 


Key 
Nokey. 


Actions 
Generate a publc/prvate key par 
Load an ensting prvate key fie 
Save the generated key 


Parameters 
Type of keyto, 


generate 
SSH-1(RSA) @ SSH2RSA ssH28 
Number of bts n a genersted key La | 


图 11-11 PuTTY 密 钥 产 生 器 界面 
Drm 


File Key Conversions Help 
Key 

Public key for pasting nto OpenSSH authorized._keys fie: 
sh sa 


Key fingerprint sshfsa 2048 c8a1:76e3:02.33.20fde'db.55.45ef' 95ac:13 
Key comment: rsakey-20120921 


I 

| 

| 

Corfm passphrase: 

| Actions 

| Genere a pubic/prvate key par 

| Load an eisting private key fle 
Savethe generated key | Savepubickey | | Save prvatekey 

中 

i 


Parameters 


Type of key to generate: 
SSH-1 (RSA) 回 SSH2RSA D SSH2DSA 


Number of btsina generated key 2048 


CG = 


图 11-12 PuTTY 密 钥 产 生 后 的 界面 


(4) 把 保存 好 的 公 钥 文件 上 传 到 SSH 服务 器 上 要 登录 用 户 的 个 人 目录 下 的 .ssh 目录 
中 ， 并 把 它 改名 为 authorized_keys， 并 用 Chmod 命令 把 权限 值 改 为 600。 

(5) 由 于 PuTTY 中 产生 的 公 钥 文件 格式 与 OpenSSH 不 一 样 ， 需 要 进行 修改 ， 即 把 
authorized_keys 改 成 类 似 以 下 代码 。 


[abc@localhost .ssh]$ more authorized keys 

==== BEGIN SSH2 PUBLIC KEY =-== 

Comment: "rsa-key-20120921" 
AAAAB3NzaClyc2EAAAABJOAAAQOEArP9+123yj56226J51f128IuZHX0JpACyK/ez 
dOOZyCYraAFvRIlbdGLDDIWLHOFKWIrF2CLGYKmMADfQ7/T8ZIiOZpmu7yJRRCxz6 
dq3m7xO0zwes5sCvwR1lcdWK8C2VFc9NpfXxtlQzu21jcaLorsjs3jv9WOoxHZ8Rx 
OoU5758vVAy9zU9sRi582011Czp9KxB35g3cCVddxXLTfWwpKETqtY0Qayf/0/2N7S 
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244IRjx2PWfKvLIMvXeTQtV9RqaJ6d0zT6ei0vHm1SR/n4By3Q== 


==== END SSH2 PUBLIC REY —=== 


[abc@localhost .ssh]$ 


(6) 运行 PuTTY， 出 现 如 图 11-8 所 示 主 界面 后 ， 在 左边 的 菜单 列表 中 选择 Connetion| 
和 Browse 按钮 把 前 面 产 生 的 私 钥 载 入 ， 如 图 11-13 所 示 。 


SSHIAuth 节点 ， 再 单 各 


(7) 选择 图 11-13 左边 菜单 栏目 中 的 Session 主 菜单 ， 回 到 初始 界面 ， 再 进行 登录 。 此 时 ， 
如 果 登 录用 户 名 是 刚才 接受 公 钥 的 用 户 ， 则 无 需 输入 密码 直接 就 可 以 登录 ， 如 图 11-14 所 示 。 


|bnable to use key file "C:\Users\yztx-8\Desktop\ii" (not a private key) 


iogin 


labc@192.168.2.111's password: 


Lal 
E 
Ophons coreolng SSH audhenbcabon 
Te Bypass authertication ertirely (SSH2 only) 
| Wndow 司 Display pre-authentication banner (SSH-2 only) 
| Mppeaance 
Authenbcabon methods 
Trandlabon 司 haempt athertication usng Pageant 
Saechon etempt TIS or CyptoCard ath (SSH-1) 
Colours 司 haempt keyboardrteractive” auth (SSH-D) 
| BComnection 
Ds Mahentcabon parameters 
Pow Mow agert forwardng 
Tenet Mow anempled changes of usemame in SSH-2 
Ron i a 
2 
A 
TY 
X11 
Tumnels 
Bugs 
Seral 
[son | [Com Le |] 


图 11-13 在 PuTTY 中 载 入 私 钥 


as: abc 


Last login: Sun Sep 23 09:28:04 2012 from 192.168.2.103 
[abcelocalhosc ~]$ 目 


全 说 明 : 


图 11-14 有 了 私 钥 后 ， 用 
为 了 把 每 一 次 登录 时 的 设置 保留 起 来 ， 可 以 单 击 主 界面 中 的 Save 按钮 把 当前 会 
话 设置 保存 起 来 。 当 下 次 再 登录 时 ， 再 单 击 Load 按钮 装 入 。 


11.2.7 ”配置 OpenSSH 服务 器 


前 面 以 较 大 的 篇 幅 介 绍 了 SSH 客户 端的 配置 和 使 用 ， 下 面 再 看 有 关 SSH 服务 器 的 配 


置 。OpenSSH 服务 器 的 配置 文件 在 /etc/ssh/sshd_config，openssh-server-5.3p1-81.el6.i686 包 
安装 完成 后 ， 会 自动 产生 这 个 文件 ， 初 始 内 容 包含 了 常见 的 配置 指令 ， 下 面 对 这 些 配置 指 


令 做 解释 。 
配置 1: 


#Port 22 


= 卫生 


户 无 需 密码 即 可 登录 
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功能 : 指定 sshd 进程 监听 的 端口 号 ， 默 认为 22。 可 以 使 用 多 条 指令 监听 多 个 端口 。 


默认 将 在 本 机 的 所 有 网 络 接口 上 监听 。 


议 。 


配置 2: 


#Protocol 2,1 
Protocol 2 


功能 : 指定 sshd 支持 的 SSH 协议 的 版 本 号 。1 或 2 表示 仅仅 支持 SSH-1 或 SSH-2 协 
2,1 表示 同时 支持 SSH-1 和 SSH-2 协议 。 
配置 3: 


#AddressFamily any 


功能 : 设置 应 当 使 用 哪 种 地 址 族 。 取 值 范 围 是 any (默认 )、inet ( 仅 IPv4) 和 inet6( 仅 


IPv6)。 


配置 4: 


#ListenAddress 0.0.0.0 
#ListenAddress :: 


功能 : 指定 sshd 监听 的 本 机 网 络 接口 地 址 ， 默认 监听 所 有 接口 地 址 。 可 以 使 用 多 个 该 


指令 监听 多 个 地 址 。 


配置 $; 

#HostKey /etc/ssh/ssh host key # 只 用 于 SSH1 
#HostKey /etc/ssh/ssh host rsa key # 只 用 于 SSH2 
#HostKey /etc/ssh/ssh host dsa key # 只 用 于 SSH2 


功能 : 主机 私 钥 文件 的 位 置 。 如 果 不 存在 或 权限 不 对 ，sshd 会 拒绝 启动 。 一 台 主 机 可 


以 拥有 多 个 不 同 的 私 钥 。 


配置 6: 


#KeyRegenerationInterval 1h 


功能 : 由 SSH1 协议 使 用 ， 表 示 不 断 更 新 的 服务 器 密 钥 将 以 此 指令 设置 的 时 间 为 周期 


( 秒 )， 不 断 重新 生成 。 这 个 机 制 可 以 尽量 减 小 密 钥 丢 失 或 者 黑客 攻击 造成 的 损失 。 设 为 0 
表示 永 不 重新 生成 ， 默 认为 3 600( 秒 )。 


配置 7: 


#ServerKeyBits 768 


功能 : 指定 服务 器 密 钥 的 长 度 。 仅 用 于 SSH1。 默 认 值 是 768 (位 )， 最 小 值 是 512。 
配置 8: 


#SyslogFacility AUTH 
SyslogFacility AUTHPRIV 


功能 :指定 sshd 将 日 志 消息 通过 哪个 日 志 设备 〈facility) 发 送 。 有 效 值 是 DAEMON、 


USER、AUTH (默认 )、AUTHPRIV 和 LOCAL0-LOCAL7。 


配置 9; 


#LogLevel INFO 
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功能 : 指定 sshd 的 日 志 等 级 〈 即 详细 程度 )。 可 用 值 如 下 : QUIET、FATAL、ERROR、 


INFO (默认 )、VERBOSE、DEBUG、DEBUG1、DEBUG?2 和 DEBUG3。 


配置 10: 

#LoginGraceTime 2m 

功能 : 限制 用 户 必须 在 指定 的 时 限 内 认证 成 功 ，0 表示 无 限制 。 默 认 值 是 120 秒 。 
配置 11: 

#PermitRootLogin yes 

功能 ， 是 否 允许 root 登录 。yes (默认 ) 表示 允许 ，no 表示 禁止。 

配置 12: 

#StrictModes yes 


功能 : 指定 是 否 要 求 sshd 在 接受 连接 请 求 前 对 用 户主 目录 和 相关 的 配置 文件 进行 宿主 


和 权限 检查 。 默 认 值 为 yes。 


兴 


配置 13: 

#MaxAuthTries 6 

功能 ， 指 定 每 个 连接 最 大 允许 的 认证 次 数 。 默 认 值 是 6。 

配置 14: 

#RSAAuthentication yes 

功能 ， 是否 允 许 使 用 纯 RSA 公 钥 认证 。 仅 用 于 SSH-1。 默 认 值 是 yes。 
配置 15: 


#PubkeyAuthentication yes 


功能 :是否 允许 公 钥 认证 。 仅 可 以 用 于 SSH-2。 默 认 值 为 yes。 


配置 16: 

#AuthorizedKeysFile .ssh/authorized keys 

功能 : 存放 用 户 使 用 RSA/DSA 私 钥 登 录 时 所 对 应 的 公 钥 文 件 。 
配置 17: 


#RhostsRSAAuthentication no 


功能 : 是 否 使 用 强 可 信和 主机 认证 (通过 检查 远程 主机 名 和 关联 的 用 户 名 进行 认证 )。 


有 目 于 SSH-1。 


#HostbasedAuthentication no 


功能 : 功能 与 RhostsRSAAuthentication 类 似 ， 但 是 仅 可 以 用 于 SSH-2。 
配置 19: 


#IgnoreUserKnownHosts no 


a 
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功能 : 在 RhostsRSAAuthentication 或 HostbasedAuthentication 时 是 否 忽略 用 户 的 
~/.ssh/known_hosts 文件 。 

配置 20: 

#IgnoreRhosts yes 

功能 : 在 RhostsRSAAuthentication 或 HostbasedAuthentication 时 是 否 忽 略 .rhosts 
和 .shosts 文件 。 

配置 21: 

#PermitEmptyPasswords no 

功能 : 是 否 人 允许 密码 为 空 的 用 户 远程 登录 。 默 认为 no。 

配置 22: 

ChallengeResponseAuthentication no 

功能 :是 否 允 许 质疑 -应 答 (challenge-response) 认证 。 默 认 值 是 yes。 

配置 23: 

PasswordAuthentication yes 

功能 : 是 否 允许 使 用 基于 密码 的 认证 。 默 认为 yes。 

配置 24: 

#KerberosAuthentication no 

功能 : 是 否 要 求 用 户 为 PasswordAuthentication 提供 的 密码 必须 通过 Kerberos KDC 
认证 。 

配置 25: 

#KerberosOrLocalPasswd yes 

功能 : 如 果 Kerberos 密码 认证 失败 ， 那 么 该 密码 是 否 还 要 通过 其 他 的 认证 机 制 (例如 


/etc/passwd )。 
配置 26: 


#KerberosTicketCleanup yes 

功能 : 是 否 在 用 户 退 出 登录 后 自动 销毁 用 户 的 ticket。 默 认 值 是 yes。 
配置 27; 
#KerberosGetAFSToken no 

功能 : 如 果 使 用 了 AFS 并 且 该 用 户 有 一 个 Kerberos 5 TGT， 那 么 开启 该 指令 后 ， 将 会 


在 访问 用 户 的 个 人 目录 前 尝试 获取 一 个 AFS token。 默 认为 no。 
配置 28: 


GSSAPIAuthentication yes 


功能 : 是 否 允 许 使 用 基于 GSSAPI 的 用 户 认证 。 默 认 值 为 no。 仅 用 于 SSH-2。 


ss 
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配置 29: 

GSSAPICleanupCredentials yes 

功能 :使 用 基于 GSSAPI 的 用 户 认 证 时 ， 是 否 在 用 户 退 出 登录 后 自动 销毁 用 户 凭 证 组 
存 。 默 认 值 是 yes。 仅 用 于 SSH-2。 

配置 30: 

UsePAM yes 

功能 : 是 否 使 用 PAM 认证 。 设 为 yes 时 只 有 root 用 户 才 能 运行 sshd。 

配置 31: 


AcceptEnv LANG LC CTYPE LC NUMERIC LC TIME LC COLLATE LC MONETARY LC 
MESSAGES 

AcceptEnv LC PAPER LC NAME LC ADDRESS LC TELEPHONE LC MEASUREMENT 
AcceptEnv LC_IDENTIFICATION LC ALL 


功能 : 指定 客户 端 发 送 的 哪些 环境 变量 将 会 被 传递 到 会 话 环境 中 。 只 有 SSH-2 协议 支 
持 环境 变量 的 传递 。 

配置 32: 

#AllowTcpForwarding yes 

功能 ， 是 否 允许 TCP 转发 。 默认 值 为 yes。 

配置 33: 

#GatewayPorts no 

功能 : 是 否 允 许 远 程 主机 连接 本 地 的 转发 端口 。 默 认 值 是 no。 

配置 34: 

XllForwarding yes 

功能 : 是 否 允许 进行 X11 转发 。 默 认 值 是 no。 

配置 35; 

XllDisplayOffset 10 

功能 : 指定 sshd X11 转发 的 第 一 个 可 用 显示 区 〈display) 数字 。 默 认 值 是 10。 

配置 36: 

#X11UseLocalhost yes 

功能 : 是 否 应 当 将 X11 转发 服务 器 绑 定 到 本 地 loopback 地 址 。 默 认 值 是 yes。 

配置 37: 

#PrintMotd yes 

功能 : 设置 是 否 在 每 一 次 交互 式 登 录 时 打印 /etc/motd 文件 的 内 容 。 默 认 值 是 yes。 

配置 38: 


#PrintLastLog yes 
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功能 : 设置 是 否 在 每 一 次 交互 式 登录 时 打印 上 一 次 用 户 的 登录 时 间 。 默 认 值 是 yes。 

配置 39: 

#TCPKeepAlive yes 

功能 : 指定 系统 是 否 向 客户 端 发 送 TCP keepalive 消息 。 这 种 消息 可 以 检测 到 死 连接 、 
连接 不 当 关 闭 ， 以 及 客户 端 朋 省 等 异常 。 默 认 值 是 yes。 

配置 40: 

#UseLogin no 

功能 ， 是否 在 交互 式 会 话 的 登录 过 程 中 使 用 login。 默 认 值 是 no。 

配置 41: 

#UsePrivilegeSeparation yes 

功能 : 是 否 让 sshd 通过 创建 非特 权 子 进程 处 理 接 入 请 求 的 方法 来 进行 权限 分 离 。 默 认 
值 是 yes， 此 时 ， 认 证 成 功 后 ， 将 以 该 认证 用 户 的 身份 创建 另 一 个 子 进程 。 其 目的 是 为 了 
防止 通过 有 缺陷 的 子 进 程 提升 权限 ， 从 而 使 系统 更 加 安全 。 

配置 42: 


#PermitUserEnvironment no 


功能 :指定 是 否 允许 sshd 处 理 ~/.ssh/environment 及 ~/.ssh/authorized_keys 中 的 environmen 人 = 
选项 。 默 认 值 是 no。 

配置 43: 

#Compression delayed 

功能 : 是 否 对 通信 数据 进行 加 密 , 还 是 延迟 到 认证 成 功 之 后 再 对 通信 数据 加 密 。delayed 

配置 44: 

#ClientAliveInterval 0 

功能 : 设置 一 个 以 秒 为 单位 的 时 间 , 如 果 超 过 这 么 长 时 间 没 有 收 到 客户 端的 任何 数据 ， 
sshd 将 通过 安全 通道 向 客户 端 发 送 一 个 alive 消息 ， 并 等 候 应 答 。 默 认 值 为 0， 表 示 不 发 送 
alive 消息 。 这 个 选项 仅 对 SSH-2 有 效 。 

配置 45: 

#ClientAliveCountMax 3 

功能 :sshd 在 未 收 到 任何 客户 端 回应 前 最 多 允许 发 送 多 少 个 alive 消息 。 默 认 值 是 3。 

配置 46: 

#ShowPatchLevel no 

功能 ， 设 置 是 否 显示 软件 补丁 编号 。 

配置 47: 


#UseDNS yes 
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功能 : 设置 是 否 应 该 对 远程 主机 名 进行 反 向 解析 ， 以 检查 此 主机 名 是 否 与 其 卫 地 址 真 
实 对 应 。 默 认 值 为 yes。 
配置 48: 


#PidFile /var/run/sshd.pid 


功能 : 指定 在 哪个 文件 中 存放 SSH 守护 进程 的 进程 号 。 默 认为 /var/run/sshd.pid 文件 。 
配置 49: 


#MaxStartups 10 


功能 : 最 大 允许 保持 多 少 个 未 认证 的 连接 。 默 认 值 是 10。 
配置 50: 
#PermitTunnel no 


功能 : 设置 是 否 允 许 tunnel 设备 转发 。 
配置 51: 


#Banner /some/path 


功能 :将 这 个 指令 指定 的 文件 中 的 内 容 在 用 户 进行 认证 前 显示 给 远程 用 户 。 仅 用 于 
SSH-2。 
配置 52: 


Subsystem sftp /usr/libexec/openssh/sftp-server 


功能 : 配置 一 个 外 部 子 系统 。 仅 用 于 SSH-2 协议 。 

以 上 是 sshd 进程 运行 时 初始 配置 文件 内 容 的 解释 。 已 经 包含 了 大 部 分 的 配置 指令 ， 
其 中 大 部 分 配置 指令 是 被 注释 掉 的 ， 可 以 根据 需要 予以 启用 。 全 部 的 配置 指令 可 以 通过 
“man sshd_config” 命 令 查看 帮助 手册 页 。 有 此 配置 指令 的 功能 可 以 通过 sshd 的 命令 行 参 
数 实 现 ， 具 体 可 以 查看 sshd 的 手册 页 。 由 于 sshd 的 配置 指令 比较 简单 ， 而 且 注释 中 已 经 
做 了 详细 的 解释 。 因 此 不 再 列举 更 多 的 例子 ， 只 是 对 最 后 一 行 的 Subsystem 配置 指令 做 
说 明 。 

作为 openssh-server-5.3p1-81.e16.i686 包 的 一 部 分 ,OpenSSH 提供 了 /usr/libexec/openssh/ 
sftp-server 作为 实现 sftp 协议 的 服务 端 程序 。sftp 是 一 种 安全 性 更 高 的 ftp 替代 品 ， 在 功能 
上 等 同 于 ftp， 它 将 ftp 命令 映射 成 OpenSSH 命令 。 当 在 sshd 的 主 配置 文件 中 加 入 以 下 配 
置 指令 时 ，sftp 客户 端 可 以 通过 SSH 的 22 号 端口 与 sftp-server 服务 器 进行 连接 ， 完 成 与 
FTP 相似 的 功能 

Subsystem sftp /usr/libexec/openssh/sftp-server 

sftp 客户 端 已 经 包含 在 openssh-client-4.3p2-16.el5 包 中 ， 以 下 是 sftp 的 使 用 方法 。 

[root@localhost ]# sftp bob@192.168.127.130 

Connecting to 192.168.127.130... 

bob@192.168.127.130's password: 

sftp> ls 


.bash history 
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.bash logout 
.bash profile 
.bashrc 
.lesshst 

.Ssh 

public html 
sftp> 


会 说明: 可 以 通过 在 sftp> 后 输入 “?” 查 看 sftp 支持 的 命令 ， 这 些 命令 的 功能 与 使 用 方法 
与 字符 型 的 FTP 客户 端 差不多 。 


11.3 使 用 VNC 实现 远程 管理 


前 两 节 介 绍 了 远程 管理 工具 Telnet 和 OpenSSH， 它 们 是 基于 字符 界面 的 。 对 于 桌面 用 
户 来 说 , 可 能 使 用 起 来 不 太 方便 。 本 节 介绍 一 种 基于 图 形 界 面 的 远程 管理 工具 , 它 与 Windows 
平台 下 的 远程 桌面 连接 ， 以 及 著名 的 远程 控制 工具 pcAnywhere 等 具有 类 似 的 功能 。 


11.3.1 VNC 简介 


VNC (Virtual Network Computing， 虚 拟 网 络 计算 ) 是 一 种 图 形 桌 面 共享 系统 ， 它 使 用 
RFB 协议 远程 控制 另外 一 台 计算 机 。VNC 通过 网 络 把 控制 端的 键盘 和 鼠标 事件 传输 给 被 控 
端 ， 并 把 被 控 端 的 屏幕 显示 回 传 给 控制 端 ， 使 在 控制 端的 操作 者 感觉 犹如 坐 在 被 控 端 计算 
机 面前 操作 一 样 。 

VNC 具有 平台 无 关 的 特性 , 在 任何 操作 系统 上 的 客户 端 (VNC viewer) 都 可 以 连接 到 
任何 操作 系统 上 安装 的 服务 器 (VNC server)，VNC 支持 几乎 所 有 的 图 形 界 面 操作 系统 ， 
目 支持 Java。 多 个 VNC 客户 端 可 以 同时 连接 到 服务 器 ， 流 行 的 应 用 包括 远程 技术 支持 、 
相互 传输 两 台 计 算 机 中 的 文件 等 。 

VNC 由 Olivetti & Oracle Research Lab 开发 ，AT&T 在 1999 年 获得 了 这 个 实验 机 构 ， 
并 在 2002 年 将 其 关闭 。 此 后 ，VNC 开发 成 员 中 的 一 部 分 构建 了 RealVNC 这 个 开源 项 目 ， 
同时 致力 于 商业 化 推广 。 目 前 用 得 最 广泛 的 VNC 就 是 这 个 RealVNC。 

VNC 由 客户 端 、 服 务 器 和 通信 协议 RFB 这 3 部 分 组 成 。RFB (Remote Frame Buffer， 
远程 帧 缓存 ) 是 一 个 远程 图 形 用 户 的 简单 协议 ， 它 工作 在 帧 缓存 级 别 上 ， 所 以 它 可 以 应 用 
于 所 有 的 窗口 系统 ， 例 如 ，X11、Windows 和 Mac 等 系统 。 远 程 终端 用 户 使 用 的 机 器 〈 例 
如 显示 器 、 键 盘 、 鼠 标 ) 叫做 客户 端 ， 提 供 帧 缓存 变化 的 被 称 为 服务 器 。 


11.3.2 ”VNC 服务 器 的 安装 与 运行 


默认 情况 下 RHEL 6 的 安装 程序 会 将 libvnc 服务 端 程序 安装 在 系统 上 ， 可 以 使 用 下 面 
的 命令 检查 系统 是 否 已 经 安装 了 VNC 服务 器 。 


rpm -qa | grep vnc 
libvncserver-0.9.7-4.e16.i686 
# 


以 上 结果 显示 RHEL 6 上 安装 了 libvnec 服务 器 。 这 里 没有 看 到 vnc-server 包 ， 可 以 可 


sse 
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以 从 http://www.realvnc.com/ 下 载 源码 包 。 解 压 后 得 到 两 个 rpm 包 : VNC-Server-5.0.2- 
Linux-x86.rpm 和 VNC-Viewer-5.0.2-Linux-x86.rpm。 并 输入 以 下 命令 进行 安装 


# rpm -ivh VNC-Server-5.0.2-Linux-x86.rpm 


安装 成 功 后 ， 有 关 VNC 服务 器 软件 的 几 个 重要 文件 分 布 如 下 所 示 。 
/etc/re.d/init.d/vncserve-x11-servicedr: VNC 服务 器 的 启动 脚本 。 
/etc/sysconfig/vncservers: VNC 系统 环境 变量 设置 脚本 。 

/usr/bin/vncconfig: vnc-server 进程 的 管理 工具 。 

/usrbin/vncpasswd: VNC 连接 密码 设置 与 改变 工具 。 

/usr/bin/vncserver: VNC 服务 器 进程 命令 文件 。 

/usr/share/man/man1/...: VNC 帮助 手册 页 。 

/usr/share/vnc/classes/vncviewerjar: 提供 给 Java 客户 端的 运行 包 。 

如 果 使 用 源 代码 安装 ， 可 以 从 http://www.realvnc.com/ 下 载 ， 目 前 最 新 版 本 是 5.0.2 版 。 


口 


DOOOODDO 


有 关 源 代码 的 安装 广 式 请 参见 其 README 文件 。 下 面 以 RPM 包 安 装 为 例 介 绍 VNC 的 运 
行 与 配置 。 当 RPM 包 安 装 完成 后 ， 可 以 通过 以 下 命令 启动 vncserver 进程 。 


# vncserver 

VNC(R) Server 5.0.2 (r93293) 

Built on Aug 15 2012 21:14:00 

Copyright (C) 2002-2012 RealVNC Ltd. 

VNC is a registered trademark of RealVNC Ltd. in the U.S. and in other 
countries. 

Protected by UK patent 2481870. 

See http://www.realvnc.com for information on VNC. 

For third party acknowledgements see: 
http://www.realvnc.com/products/vnc/documentation/5.0/acknowledgements. 
txt 


xauth: creating new authority file /root/.Xauthority 
Running applications in /etc/vnc/xstartup 
VNC Server signature: ee-0c-a7-a8-93-bc-fd-82 


Log file is /root/.vnc/localhost:1.1og 
New desktop is localhost:1 (192.168.127.130:1) 
# 


VNC 服务 命令 初次 运行 时 , 会 在 当前 用 户 的 个 人 目录 下 创建 一 个 名 为 .vnc 的 目录 , 里 


面包 含 了 3 个 文件 ， 如 下 所 示 。 


root@localhost .vnc]# ls 
config.d localhost:1.log localhost:1.pid private.key 


其 中 ，xstartup 是 VNC 服务 器 的 启动 脚本 ，localdomain:1.log 是 第 一 个 桌面 的 日 志 


件 ，localdomain:1.pid 是 vncserver 的 进程 PID，private.key 文件 里 存放 着 连接 密码 的 密 文 。 
可 以 再 次 执行 vncserver 命令 启动 多 个 桌面 ， 每 个 桌面 的 编号 默认 为 依次 增 大 ， 也 可 以 用 


人 


vncserver :<n>” 的 形式 指定 第 n 个 桌面 号 。 桌 面 数 决定 了 客户 端的 同时 连接 数 。 下 面 再 


执行 一 次 vncserver 命令 。 


root@localhost .vnc]# vncserver 
VNC(R) Server S50.2 (r99293) 


"ie 
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Built on Aug 15 2012 21:14:00 

Copyright (C) 2002-2012 RealVNC Ltd. 
Running applications in /etc/vnc/xstartup 
Log file is /root/.vnc/localhost:2.10g 


此 时 就 启动 了 第 二 个 桌面 ， 连 接 密 码 与 第 一 个 桌面 相同 ， 不 需要 再 次 设置 。 每 个 桌面 
启动 后 ， 都 会 在 .vnc 目录 下 增加 一 个 对 应 的 日 志文 件 和 进程 PID 文件 。 另 外 ， 每 个 用 户 均 
可 以 执行 vncserver 命令 创建 自己 的 桌面 提供 给 VNC 客户 端 连接 ， 但 桌面 编号 是 唯一 的 ， 
即 所 有 用 户 的 桌面 号 是 不 会 重复 的 ， 客 户 端 连 入 时 可 以 选择 不 同 的 桌面 号 。 还 有 ， 每 个 用 户 
第 一 次 运行 vncserver 时 也 要 设置 连接 密码 ， 也 会 在 个 人 目录 下 创建 .vnc 目录 ， 也 会 出 现 相 
应 的 日 志文 件 、 进 程 PID、xstartup 和 passwd 文件 。 下 面 查看 上 述 命令 执行 后 出 现 的 进程 。 

# Ps -eaflgrep vnc 

root 27576 LO L802 pts/2 00:00:04 Xvnc :1 -desktop localhost. 

localdomain:1 (root) -httpd /usr/share/vnc/classes -auth /root/.Xauthority 

-geometry 1024x768 -depth 16 -rfbwait 30000 -rfbauth /root/.vnc/passwd 

-rfbport 5901 -pn 

root 27580 1 0 18502 pts/2 00:00:00 vncconfig -iconic 

root 27642 0 L919 ptES/A2 00:00:04 Xvnc :2 -desktop 

localhost.localdomain:2 (root) -httpd /usr/share/vnc/classes -auth 

/root/.Xauthority -geometry 1024x768 -depth 16 -rfbwait 30000 -rfbauth 

/root/.vnc/passwd -rfbport 5902 -pn 

root 27646 1 0 18515 pts/2 00:00:00 vncconfig -iconic 

root 27824 19374 0 18:32 pts/2 00:00:00 grep vnc 

# 


可 以 看 到 ， 每 个 桌面 均 有 两 个 进程 。 实 际 上 ， 这 两 个 进程 是 由 .vnc 下 的 xstartup 脚本 
启动 的 。 另 外 ，VNC 服务 器 第 一 个 桌面 使 用 的 默认 端口 号 是 TCP5801 和 5901 号 端口 ， 其 
余 桌面 依次 增加 ， 其 中 前 者 用 于 浏览 器 中 Java Applet 的 访问 。 下 面 查看 这 些 端口 是 否 已 经 
处 于 监听 状态 。 

# netstat -an | grep :580 


tcp 0 0 0.0.0.0:5801 0.0.0.0:* LISTEN 
tcp 0 0 0.0.0.0:5802 0.0.0.0:* LISTEN 
# netstat -an | grep :590 

tcp 0 0 0.0.0.0:5901 0.0.0.0:* LISTEN 
tcp 0 0 0.0.0.0:5902 0.0.0.0:* LISTEN 
# 


可 见 ， 这 些 端口 都 已 经 正常 打开 。 为 了 确保 客户 端 能 够 访问 VNC 服务 器 ， 如 果 防 火 
增 未 开放 这 些 端 口 ， 可 以 输入 以 下 命令 开放 这 些 端口 。 


# iptables -IINPUT -p tcp -mmultiport --dports 5801:5805,5901:5905 -j ACCEPT 


以 上 命令 开放 了 防火 墙 TCP 协议 的 5801-5805 和 5901-5905 号 端口 。 或 者 用 以 下 命令 
清空 防火 墙 的 所 有 规则 。 
# iptables -F 


上 述 过 程 完 成 后 ， 就 可 以 通过 客户 端 连接 到 VNC 服务 器 了 ， 具 体 方法 见 11.3.3 节 。 
11.3.3” VNC 客户 端 
为 了 体现 VNC 跨 平台 的 特性 , 下 面 以 Windows 下 的 RealVNC 客户 端 为 例 , 讲述 VNC 
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客户 端的 使 用 方法 。RealVNC 可 以 从 http://www.realvnc.com 处 下 载 ， 有 自由 版 、 个 人 版 和 
企业 版 3 种 版 本 ， 其 中 自由 版 是 免费 的 ， 其 余 两 种 版 本 有 30 天 的 试用 期 。 本 节 介 绍 的 是 企 
业 版 的 安装 和 使 用 方法 ，3 种 版 本 的 安装 和 使 用 基本 上 是 一 样 的 。 

下 载 VNC-Viewer-5.0.2-Windows-32bit.exe 到 本 机 后 ， 双 击 “ 安 装 ” 当 出 现 如 图 11-15 
所 示 的 对 话 框 时 ， 要 求 选择 安装 组 件 ， 包 括 VNC 服务 器 和 客户 端 。 可 以 两 者 都 选 ， 但 选 
了 VNC 服务 器 后 ， 后 续 需 要 做 更 多 的 设置 。 安 装 完成 后 ， 运 行 “VNC Viewer”， 将 出 现 如 
图 11-16 所 示 的 对 话 框 。 


Select Components 
Which components should be instaled? 


Select the components you want to install; dear the components you want to uninstal. 
Cidk Next when you are ready to continue. 


Install server and vewer 
国 wc Server 
国 wwc Mror Driver 
国 vNc Printer Driver 
国 wNc wewer 


Current selection requires at least 21.3 MB of disk space. 
Ee 
图 11-15 选择 VNC 组 件 


此 时 ,在 Server 文本 框 内 输入 192.168.127.130:3， 表 示 要 连接 到 192.168.127.130 服务 
器 的 第 三 个 桌面 ， 单 击 Connect 按钮 后 ， 再 输入 在 192.168.127.130 主机 上 运行 vncserver 
时 所 设 的 连接 密码 ， 就 可 以 登录 了 ， 此 时 出 现 的 画面 如 图 11-17 所 示 。 


Va localhost2 |root) - VNC Viewer 


11-16 ”VNC Viewer 初始 对 话 框 图 11-17 VNC 客户 端 看 到 的 远程 服务 器 桌面 
在 这 里 可 以 通过 以 下 步骤 重启 vncserver。 


# vncserver -kill :3 
# vncserver :3 


Running applications in /etc/vnc/xstartup 
VNC Server signature: ee-0c-a7-a8-93-bc-fd-82 


Log file is /root/.vnc/localhost:3.10g 
New desktop is localhost:3 (192.168.127.130:3) 


"2 
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以 上 命令 中 ，-kill 选项 表示 终止 进程 ，:3 表示 第 3 个 桌面 。 于是， 在 Windows 再 运行 
VNC viewer 时 ， 连 接 成 功 后 看 到 的 将 是 Gnome 桌面 系统 ， 如 图 11-18 所 示 。 


{Ve localhost3 (oo - VNC Viewer ET 


图 11-18 


VNC Viewer 中 看 到 的 Gnome 远程 桌面 系统 


通过 VNC viewer 提供 的 选项 菜单 还 可 以 改变 VNC viewer 的 工作 状态 ， 如 图 像 颜 色 、 
是 否 加 密 传输 等 ， 也 可 以 实现 在 服务 器 和 客户 端 之 间 传 输 文件 等 功能 ， 具 体 请 参见 VNC 
viewer 使 用 手册 。 


11.3.4 ”VNC 服务 器 配置 


Vncserver 运行 时 ， 会 读 取 /etc/vnc/config 和 $HOME/.vnc/config 两 个 文件 中 的 内 容 作 为 
其 运行 时 的 配置 ,但 在 vnc-server 包 安装 完成 后 ， 并 没有 提供 这 两 个 配置 文件 的 初始 内 容 ， 
所 有 的 选项 均 采 用 默认 值 。 但 是 这 些 默认 值 可 以 在 运行 过 程 中 通过 vncconfig 工具 进行 改 
变 。vncconfig 命令 的 格式 如 下 : 


vncconfig 
vncconfig 
vncconfig 
vncconfig 
vncconfig 
vncconfig 
vncconfig 


如 果 只 有 parameters， 没 


有 以 下 儿 项 。 


[parameters 
[parameters 
[parameters 
[parameters 
[parameters 
[parameters 
[parameters 


-connect <host>[:<port>] 
-disconnect 

[-set] <Xvnc-param>=<value> ... 
=list 

-get <param> 

-desc <param> 


有 其 他 内 容 ，vncconfig 将 运行 成 为 一 个 帮助 器 。parameters 


口 -display < 桌面 号 >: 确定 对 哪 一 个 桌面 号 进行 控制 ， 必 须要 确定 。 
口 -nowin: 不 要 在 窗口 中 运行 帮助 器 。 

口 -iconic: 运行 帮助 器 ， 窗 口 最 小 化 为 图 标 。 

其 余 的 内 容 称 为 选项 ， 解 释 如 下 所 示 。 


选项 1: 
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-connect host[:port] 

功能 : 使 某 一 桌面 系统 做 一 个 “ 反 转 ”的 连接 到 客户 端 。 一 般 情况 下 ， 远 程控 制 一 般 
都 是 由 客户 端 发 起 连接 的 ， 利 用 这 个 选项 可 以 让 VNC 服务 器 主动 与 客户 端 连接 。 前 提 是 
客户 机 上 已 经 运行 了 监听 模式 的 VNC Viewer， 它 默认 的 监听 端口 是 TCP5500 号 。 


选项 2: 


-disconnect 


功能 : 断 开 与 某 一 客户 端的 连接 〈 但 服务 器 相应 的 进程 并 未 中 止 )。 


选项 3: 


[-set] <Xvnc 参数 = 值 > 


功能 : 设置 Xvnc 参数 值 。 某 些 参数 值 只 在 配置 文件 中 读 入 时 有 效 , 中 途 改变 并 不 会 生效 。 


选项 4: 


让 


功能 ， 列 出 所 有 Xnc 支持 的 参数 。 


选项 5: 


-get <xvnc 参数 > 


功能 : 输出 Xvnc 参数 的 当前 值 。 


选项 6: 


-desc <Xvnc 参数 > 


功能 :输出 Xvnc 参数 的 简短 解释 。 

另外 ， 从 进程 列表 中 可 以 看 出 ，vncserver 命令 只 是 一 个 包 庄 器 ， 真 正 运行 的 进程 是 
Xvnc。 当 Xvne 运行 时 ， 要 从 配置 文件 中 读 入 所 有 参数 的 值 。 如 果 配 置 文件 中 没有 设置 或 
没有 配置 文件 ， 则 采用 默认 值 。 而 且 在 运行 过 程 中 ， 可 以 通过 vncconfig 工具 加 以 改变 。 重 
要 的 Xvnc 参数 名 称 及 功能 说 明 如 表 11-4 所 示 。 


表 11-4 Xvnc 参数 表 


参数 名 称 值 功 能 
desktop desktop-name ”| 设置 一 个 在 VNC Viewer 中 显示 的 桌面 名 称 ， 默 认为 x11 
rfbport port 设 定 监听 的 TCP 端口 号 ， 默 认为 5900 加 上 桌面 编号 
rfbwait time Xvnc 被 VNC Viewer 阻塞 时 ， 等 待 的 时 间 ， 单 位 为 毫秒 
httpd 二 ay 以 directory 主 目录 ,运行 一 个 微型 的 HTTP 服务 器 ,用 于 为 Java 
VNC viewer 服务 
httpPort port 设置 内 置 HTTP 服务 器 的 端口 号 
rfbauth passwd-file 设 定 认 证 VNC Viewer 的 密码 文件 
deferUpdate time 设置 推迟 更 新 的 时 间 ， 很 多 情况 下 可 以 提高 性 能 
SendCutText on 或 off 设 定 是 否 发 送 剪 贴 板 的 内 容 给 客户 端 


< 
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参数 名 称 值 功 能 

AcceptCutText on 或 off 设 定 是 否 接 受 客户 端的 剪贴 板 更 新 

AcceptPointerEvents | on 或 off 设 定 是 否 接受 客户 端的 鼠标 单 击 和 放松 释放 事件 

AcceptKeyEvents on 或 off 设 定 是 否 接受 客户 端的 击 键 和 松 键 事件 
如 果 一 个 客户 端 已 经 连 上 一 个 桌面 ， 另 一 个 非 共 享 的 客户 端 同 

DisconnectClients on 或 off 样 也 要 连接 这 个 桌面 ， 此 时 ， 当 设 为 on 时 , 将 断 开 已 连 的 客户 
端 ; 当 设 为 off 时 ， 将 拒绝 新 的 客户 端 

Ratel on 或 of a on 时 ， 禁 止 共享 桌面 ， 即 使 客户 端 设 为 共享 连接 ， 默 认 

AlwaysShared on 或 of 当 设 为 on 时 , 依 客户 端的 设置 决定 是 否 共享 一 个 桌面 , 默认 为 of 他 

Protocol3.3 on 或 off 总 是 使 用 协议 版 本 3.3， 以 便 向 后 兼容 ， 默 认为 off 

CompareFB on 或 off 设置 是 否 进行 像素 比较 ， 默 认为 on 

1 确定 采用 哪 -种 安全 认证 模式 ， 目 前 只 能 用 None 或 VncAuth， 
默认 为 VncAuth， 表 示 使 用 VNC 所 设 的 连接 密码 

IdleTimeout Seconds 设置 空闲 多 长 时 间 后 ， 客 户 端 将 被 断 开 ， 默 认为 3600 秒 

QueryConnect on 或 off 有 客户 端 连接 时 ， 是 否 在 桌面 提示 用 户 是 接受 还 是 拒绝 

localhost on 或 off 只 允许 本 机 的 客户 端 进行 连接 

log name:dest:level | 确定 日 志 的 各 种 属性 

Romip Keys ihapping 设置 字符 编码 重新 映射 ,，“RemapKeys=0x22<>0x40” 表 示 编 码 
0x22 映射 为 0x40 


下 面 再 看 儿 条 vncconfig 命令 例子 。 注 意 ， 命 令 中 所 用 到 的 桌面 号 应 该 是 已 经 在 运行 
的 桌面 。 


# vncconfig -display :1 -list // 列 出 第 1 个 桌面 所 有 的 Xvnc 参数 

localhost 

desktop 

MaxCutText 

# vncconfig -display :2 -get rfbport  ”// 查 询 第 2 个 桌面 Xvnc 参数 rfbport 的 值 

5902 

# vncconfig -display :2 -get localhost // 列 出 第 2 个 桌面 Xvnc 参数 
localhost 的 值 

0 

# vncconfig -display :2 -set localhost=1 // 把 第 2 个 桌面 Xvnc 参数 
localhost 的 值 设 为 1 

# vncconfig -display :2 -get localhost // 再 看 一 下 localhost 的 值 

主 

# 


如 上 所 示 ， 把 第 二 个 桌面 的 localhost 设 为 1， 即 on 后 ， 其 他 计算 机 的 VNC Viewer 将 
不 能 与 本 机 VNC 服务 器 的 第 二 个 桌面 连接 ， 但 本 机 可 以 连接 。 


全 说 明 : 这 个 功能 在 使 用 SSH 端口 转发 时 非常 有 用 ， 可 以 很 方便 地 阻止 其 他 非 加 密 的 连接 。 
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11.4 小 结 


远程 登录 是 系统 管理 员 管理 服务 器 的 常用 方式 ， 在 实际 工作 中 ， 除 了 操作 系统 的 安装 
外 ， 大 部 分 系统 和 服务 器 管理 工作 都 是 通过 远程 方式 进行 的 。 本 章 介绍 了 3 种 远程 管理 服 
务 器 的 架设 方法 , 分 别 是 传统 的 Telnet 服务 器 、 安 全 连接 SSH 服务 器 和 客户 端 使 用 图 形 界 
面 的 VNC 服务 器 。 包 括 它们 的 工作 原理 、 协 议 、 服 务 器 的 安装 、 运 行 与 配置 方法 等 内 容 。 
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FTP (File Transfer Protocol， 文 件 传输 协议 ) 是 一 种 用 于 在 不 同 计算 机 之 间 传 输 文件 
的 标准 规范 ， 属 于 TCP/IP 网 络 模 型 中 的 应 用 层 协 议 。 在 它 基 础 上 所 搭建 的 FTP 服务 是 
Internet 上 使 用 频率 最 高 的 应 用 服务 之 一 。 本 章 首 先 介 绍 FTP 的 工作 原理 、FTP 协议 规范 
以 及 FTP 客户 端的 使 用 方法 ， 再 以 Vsftpd 为 例 介绍 FTP 服务 器 的 架设 方法 ， 最 后 还 介绍 
了 FTP 用 户 磁盘 限额 的 方法 。 


12.1 FTP 的 工作 原理 


FTP 协议 在 RFC959 文档 中 定义 , 其 历史 最 早 可 以 追溯 到 1971 年 , 算得 上 是 一 种 比较 
古老 的 协议 了 。 它 的 目标 是 提高 文件 的 共享 性 ， 使 程序 可 以 隐 含 地 使 用 远程 计算 机 中 的 数 
据 ， 并 在 计算 机 之 间 可 靠 、 高 效 地 传送 数据 。 值 得 一 提 的 是 ， 利 用 FTP 传输 文件 时 ， 传 输 
双方 的 操作 系统 、 磁 盘 文 件 系 统 类 型 可 以 不 一 样 。 

12.1.1 FTP 的 工作 流程 

FTP 的 工作 原理 如 图 12-1 所 示 。 客 户 端 是 希望 从 服务 器 端 下 载 或 上 传 文件 的 计算 机 。 

服务 器 端 是 提供 FTP 服务 的 计算 机 ， 它 监听 某 一 端口 的 TCP 连接 请 求 。 控 制 连接 和 数据 


连接 均 是 TCP 连接 ， 控 制 连接 用 于 传送 用 户 名 、 密 码 、 设 置 传输 方式 等 控制 信息 ,数据 连 
接 用 于 传送 文件 数据 。 客 户 端 和 服务 器 端 分 别 运行 着 控制 进程 和 数据 传送 进程 。 


用 户 KK 二 Fh 用 户 界面 


控制 连接 
控制 进程 控制 进程 
数据 传送 上 | 数据 传送 
一 进程 进程 二 
客户 端 服务 器 端 


图 12-1 FTP 工作 原理 图 


当 用 户 需要 从 服务 器 下 载 文件 时 ， 可 以 通过 用 户 界 面 让 客户 端的 控制 进程 发 起 一 个 
TCP 连接 请 求 ， 服 务 器 端的 控制 进程 接受 了 该 请 求 后 ， 建 立 了 控制 连接 。 于 是 ， 双 方 就 可 
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以 相互 传递 控制 信息 了 ， 但 此 时 双方 还 不 能 传输 文件 数据 。 为 了 传输 数据 ， 双 方 的 数据 传 
送 进程 还 需要 再 建立 一 个 数据 连接 。 

当 客户 端 向 服务 器 端 发 出 建立 TCP 控制 连接 请 求 时 , 默认 情况 下 , 使 用 的 服务 器 端的 
端口 号 是 21, 同时 要 告诉 服务 器 端 一 个 空闲 的 端口 号 , 用 于 以 后 建立 数据 传送 连接 。 接 着 ， 
在 默认 情况 下 , 服务 器 端 用 端口 20 与 客户 端 所 提供 的 端口 建立 数据 传送 连接 , 然后 开始 数 
据 传 送 。 


且说 明 : 由 于 客户 端 和 服务 器 端 分 别 使 用 了 两 个 不 同 的 端口 号 来 传送 控制 信息 和 数据 ， 因 
此 ， 它 们 之 间 不 会 相互 干扰 ， 而 且 可 以 同时 进行 。 


一 般 情况 下 ， 控 制 连接 是 一 直 存在 的 ， 但 数据 连接 在 一 个 文件 传输 完成 后 要 断 开 。 如 
果 还 需 传输 另 一 个 文件 ， 要 重新 建立 数据 连接 。 这 个 特性 使 得 FTP 在 传输 大 量 的 小 文件 时 
效率 比较 低 , 因为 每 一 个 文件 传输 时 都 需要 建立 和 关闭 TCP 连接 , 这 样 会 消耗 一 定 的 时 间 ， 
不 像 有 些 协 议 〈 如 Samba)， 可 以 在 一 个 连接 内 把 所 有 的 文件 一 次 性 传输 完毕 。 

FTP 的 工作 模式 和 其 他 网 络 通 信 协 议 有 很 大 的 区 别 。 通 常 在 采用 HTTP 等 协议 进行 通 
信 时 ， 通 信 双 方 只 用 一 个 通信 端口 进行 通信 ， 即 只 有 一 个 连接 。 而 FTP 使 用 两 个 独立 的 连 
接 ， 其 主要 优点 是 使 网 络 数据 传输 分 工 更 加 明确 ， 同 时 在 文件 传输 时 还 可 以 利用 控制 连接 
传送 控制 信息 。 


12.1.2 FTP 协议 规范 之 一 : 数据 传送 格式 


FTP 在 工作 过 程 中 使 用 了 专用 的 数据 连接 。 在 传输 文件 数据 时 ，FTP 协议 规范 提供 了 
控制 文件 传送 与 存储 的 多 种 选择 ， 可 以 在 文件 类 型 、 格 式 控制 、 文 件 结构 和 传输 方式 4 个 
方面 所 规定 的 选项 中 确定 一 种 ， 这 些 选 项 类 型 分 别 如 下 所 示 。 


1. 文件 类 型 


第 一 种 选项 是 ASCII 码 文件 型 ， 也 称 为 文本 类 型 ， 是 默认 的 选项 。 该 选项 使 文件 数据 
以 ASCII 码 的 形式 在 数据 连接 中 传输 。 要 求 传送 方 在 传输 数据 前 ， 先 将 本 地 文件 转换 成 
ASCII 码 的 形式 ， 再 传送 到 网 络 。 而 接收 方 要 将 从 网 络 中 收 到 的 ASCII 码 还 原 成 本 地 文件 
格式 ， 再 存 入 外 存 。 


全 注意 ; 不 同 的 系统 存储 文本 文件 时 对 换行 有 不 同 的 规定 ， 有 的 系统 规定 只 需 在 换行 处 存 
储 一 个 换行 符 (LF ) ， 有 的 规定 要 存储 回 车 (CR ) 和 换行 (LF ) 两 个 连续 的 符号 。 


第 二 种 选项 是 EBCDIC 文件 类 型 ， 它 的 中 文 意思 是 广义 二 进 制 编码 的 十 进 制 交换 码 。 
这 是 一 种 字母 或 数字 字符 的 二 进 制 编码 ， 每 个 字母 或 数字 字符 都 被 表示 为 一 个 8 位 的 二 进 
制 数 。 当 采用 该 选项 传输 时 ， 要 求 两 端 都 是 EBCDIC 系统 。 

第 三 种 选项 是 二 进 制 文件 类 型 ， 也 称 为 图 像 文件 类 型 。 数 据 传送 时 呈现 的 是 一 个 连续 
的 比特 流 ， 没 有 任何 的 格式 ， 通 常用 于 传输 二 进 制 文件 。 

第 四 种 选项 是 本 地 文件 类 型 。 大 部 分 的 主机 规定 一 个 字 节 是 8 位 ， 但 也 有 一 些 主机 规 
定 一 个 字 节 不 是 8 位 。 当 具有 不 同 字 节 大 小 的 主机 之 间 传 输 文件 时 ， 需 要 使 用 该 选项 。 如 
果 双 方 都 规定 是 8 位 ， 则 就 相当 于 是 二 进 制 文件 类 型 。 


.234 。 
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2. 格式 控制 


格式 控制 只 对 ASCIL 和 EBCDIC 两 种 文件 类 型 有 效 ， 具 体 有 3 种 选项 。 第 一 种 是 非 打 
印 选项 ， 是 默认 选项 ， 表 示 文 件 中 不 含有 垂直 格式 信息 。 第 二 种 是 远程 登录 格式 控制 选项 ， 
表示 文件 中 含有 向 打印 机 解释 的 远程 登录 垂直 格式 控制 符 。 第 三 种 是 Fortran 回 车 控制 选 
项 ， 表 示 每 行 首 字符 是 Fortran 格式 控制 符 。 


3. 数据 结构 


数据 结构 也 有 3 种 选项 。 第 一 种 选项 是 文件 结构 ， 是 默认 选项 ， 认 为 数据 是 一 个 连续 
的 字 节 流 ， 不 存在 其 他 结构 ， 第 二 种 选项 是 记录 结构 ， 该 选项 只 用 于 文本 文件 ， 认 为 数据 
是 由 一 条 条 记录 组 成 的 ， 第 三 种 选项 是 页 结构 ， 发 送 的 数据 中 规定 包含 页 号 ， 以 便 接收 方 
能 随机 地 存储 各 页 。 


4. 传输 方式 


传输 方式 共有 3 种 。 第 一 种 是 流 方 式 ， 这 是 默认 方式 ， 文 件 以 字 节 流 的 形式 传输 。 对 
于 文件 结构 ， 发 送 方 在 文件 结束 处 提示 关闭 数据 连接 。 对 于 记录 结构 ， 有 专用 的 两 字 节 序 
列 码 标志 记录 结束 和 文件 结束 。 第 二 种 是 块 方式 ， 文 件 作 为 一 系列 的 块 来 传输 ， 每 一 个 块 
的 前 面 都 带 有 一 个 或 多 个 首部 字 节 。 第 三 种 是 压缩 方式 ， 该 方式 用 一 个 简单 的 全 长 编码 压 
缩 方 法 ， 压 缩 连 续 出 现 的 相同 字 节 。 由 于 发 送 方 可 以 采用 更 好 的 方法 事先 压缩 文件 ， 再 进 
行 传输 ， 因 此 该 传输 方式 很 少 使 用 。 

以 上 介绍 的 3 个 方面 的 选项 在 数据 传输 前 都 要 事先 确定 ， 这 些 选 项 经 过 组 合 后 ， 可 以 
产生 72 种 不 同 的 组 合 方式 。 也 就 是 说 ,两 台 主 机 在 传输 和 存储 文件 数据 时 ,根据 主机 和 文 
件 类 型 的 不 同 , 可 以 从 72 种 方式 中 采用 其 中 的 一 种 。 可 见 ，FTP 协议 规范 提供 了 非常 丰富 
的 选择 ， 用 于 在 两 台 不 同类 型 的 主机 之 间 传 输 文件 数据 。 但 事实 上 ， 大 部 分 常用 的 系统 是 
没有 这 么 复杂 的 , 这 72 种 传输 方式 中 , 很 多 方式 已 经 废弃 不 用 了 ， 也 有 很 多 不 为 大 多 数 的 
系统 支持 ， 因 此 ， 基 本 上 可 以 不 用 理会 。 

通常 主流 的 Windows 和 UNIX 操作 系统 平台 下 的 FTP 客户 端 和 服务 器 对 上 述 选项 的 
限制 如 下 所 示 。 

口 文件 类 型 ASCII 方式 或 二 进 制 方式 。 

口 格式 控制 ， 只 允许 非 打印 。 

口 数据 结构 只 允许 文件 结构 。 

口 传输 方式 ， 只 允许 流 方式 。 

也 就 是 说 ， 可 以 选用 的 方式 事实 上 只 有 ASCII 和 二 进 制 两 种 。 


12.1.3 FTP 协议 规范 之 二 : 控制 命令 种 类 


当 客 户 端 与 服务 器 端 建立 控制 连接 后 ， 客 户 端的 控制 进程 就 可 以 通过 该 连接 向 服务 器 
端 发 送 控制 命令 了 。 服 务 器 端 随时 处 于 监听 状态 ， 服 务 器 端的 控制 进程 接 到 命令 后 ， 将 根 
据 命令 内 容 做 相应 的 工作 ， 并 把 结果 返回 给 客户 端 。 


“235。 
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全 注意 : 此 处 所 讲 的 控制 命令 用 于 通信 双方 控制 进程 之 间 的 交互 ， 与 后 面 讲 到 的 用 户 在 字 
符 型 FTP 客户 端 所 输入 的 命令 不 是 一 回 事 , 但 两 者 在 所 表示 的 功能 上 是 有 联系 的 。 
控制 命令 以 ASCII 字符 串 的 形式 被 传输 , 每 个 命令 以 3 个 或 4 个 大 写 的 ASCII 字符 开 
始 , 后 面 可 以 带 有 参数 , 命令 和 参数 之 间 用 空格 符 分 隔 , 并 以 一 对 回 车 符 和 换行 符 (CRV/LF) 
做 为 命令 的 结束 标志 。FTP 协议 常见 的 控制 命令 如 表 12-1 所 示 。 
表 12-1 FTP 常用 控制 命令 列表 


名 称 | 参数 说 明 功能 说 明 
ABOR | 无 告诉 服务 器 终止 上 一 次 FTP 服务 命令 及 所 有 相关 的 数据 传输 
ALLO IN 要 求 服务 器 保留 N 个 字 节 的 存储 空间 用 于 存放 将 要 传输 的 文件 
APPE “| 文件 名 让 服务 器 准备 接收 一 个 文件 ， 如 果 同 样 的 文件 在 服务 中 已 存在 ， 则 追加 到 其 后 
CDUP | 无 把 服务 器 上 当前 目录 的 父 目录 改 为 当前 目录 
CWD “| 路径 把 服务 器 上 指定 的 路 径 变 为 当前 目录 
DELE ”| 文件 名 删除 服务 器 上 指定 的 文件 
HELP ”| 命令 名 返回 指定 命令 的 帮助 信息 ， 如 果 没 有 指定 命令 ， 则 返回 所 有 命令 的 帮助 信息 
LIST “| 路 径 名 | - 份 指定 路 径 下 的 文件 和 目录 列表 ， 如 果 没 指定 路 径 ， 则 为 当前 


MKD | 路 径 名 在 服务 器 上 建立 指定 的 目录 
MODE |S、B 或 C ”| 指 传输 方式 ，S 表示 流 方 式 ，B 表示 块 方式 ，C 表示 压缩 方式 


NLIST | 路 径 名 让 服务 器 返回 一 份 指定 路 径 下 的 目录 列表 ， 如 果 没 指定 路 径 ， 则 为 当前 目录 
NOOP | 无 空 操 作 ， 目 的 是 为 了 使 控制 连接 不 会 断 开 

PASS “| 密码 字符 串 | 向 服务 器 发 送 要 登录 用 户 的 密码 

PASV | 无 告诉 服务 器 在 一 个 非 标 准 端口 上 监听 客户 端的 数据 连接 


为 数据 连接 指定 一 个 客户 端的 人 P 地 址 和 端口 ，n1~n4 表示 IP 地 址 ，n5、n6 表 


个 壮 字 
PORT “|6 个 数字 示 端 口号 


PWD ”| 无 返回 当前 工作 目录 的 名 称 
QUIT | 无 终止 控制 连接 


REST “| 偏 移 值 n 指定 文件 起 始 位 置 的 一 个 偏 移 值 ， 以 后 将 从 这 个 偏 移 位 置 开 始 传送 文件 

RETR “| 文件 名 从 服务 器 复制 一 个 指定 的 文件 到 客户 端 

RMD ”| 路径 名 在 服务 器 上 删除 指定 目录 

RNFR “| 文件 名 指定 将 要 重 命名 的 文件 ， 后 面 应 该 紧 跟 RNTO 命令 

RNTO | 文件 名 把 RNFR 指定 的 文件 改 为 该 文件 名 

STAT ”| 目录 名 促使 服务 器 以 应 答 形式 发 送 状态 给 客户 

让 服务 器 接收 来 自 数据 连接 的 文件 ， 如 果 服 务 器 上 有 同样 名 字 的 文件 ， 则 予以 


STOR “| 文件 名 


做 六 
STOU “| 文件 名 让 服务 器 接收 来 自 数据 连接 的 文件 ， 如 果 服 务 器 上 有 同样 名 字 的 文件 ， 则 出 错 
SYST | 无 返回 服务 器 使 用 的 操作 系统 类 型 
TYPE |A、E 或 I iti 方式 ，A 表示 ASCII 方式 ，E 表示 EBCDIC 方式 , I 表示 二 进 制 
工 


USER 户 名 指定 登录 服务 器 系统 的 用 户 名 


”a 
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12.1.4 FTP 协议 规范 之 三 : 应 答 格 式 


里 。 处 到 


当 服务 器 端 接收 到 客户 端的 命令 后 ， 将 根据 命令 的 功能 做 相应 的 处 至 


以 后 的 情 


况 ， 例 如 命令 执行 是 否 成 功 、 出 错 类 型 、 服 务 器 端 是 否 已 处 于 就 绪 状态 等 信息 ， 将 通过 控 
制 连接 发 送 给 客户 端 。 这 些 内 容 就 是 应 答 。 对 FTP 控制 命令 进行 应 答 的 目的 是 为 了 对 数据 


传输 过 程 进行 同步 ， 也 是 为 了 让 客户 端 了 解 服务 器 目前 的 状态 。 


FTP 应 答 由 3 个 ASCII 码 数字 构成 ， 后 面 再 跟随 一 些 解释 性 的 文本 符号 。 数 字 是 供 机 
器 处 理 的 ， 而 文本 符号 则 是 面向 用 户 的 。 三 位 数字 每 位 都 有 一 定 的 意义 ， 第 一 位 确定 响应 
是 好 的 、 坏 的 还 是 不 完全 的 。 通 过 检查 第 一 位 ， 用 户 进程 通常 就 能 够 知道 大 致 要 采取 什么 
行动 了 。 如 果 用 户 程序 希望 了 解 出 了 什么 问题 ， 可 以 继续 检查 第 二 位 。 第 三 位 表示 其 他 一 


些 信 息 。 


第 一 位 有 5 个 值 ， 其 含义 如 下 所 示 。 


DOODO 


可 以 再 发 。 


5xx ”水 久 拒 绝 完成 应 答 ， 该 命令 不 被 接受 ， 并 且 要 求 不 要 再 重 试 。 


-位 所 代表 的 含义 如 下 所 示 。 

x0x: 语法 错误 。 

xlx: 一 般 性 的 解释 信息 。 

x2x: 与 控制 和 数据 连接 有 关 。 

: 与 认证 和 账户 登录 过 程 有 关 。 
x4x: 未 指明 。 

x5x: 与 文件 系统 有 关 。 


没 口 DDDODOO 没 0O 
bd 
次 


1xx 确定 预备 应 答 : 表示 仅仅 是 在 发 送 另 一 个 命令 前 期 待 另 一 个 应 答 时 启动 。 
2xx 确定 完成 应 答 : 表示 要 求 的 操作 已 经 完成 ， 可 以 接受 新 命令 。 
3xx ”确定 中 间 应 答 ， 该 命令 已 经 被 接受 ， 另 一 个 命令 必须 被 发 送 。 
4xx 暂时 拒绝 完成 应 答 : 请 求 的 命令 没有 执行 ， 但 差错 状态 是 暂时 的 ， 命 令 以 后 


第 三 个 数字 是 在 第 二 个 数字 的 基础 上 对 应 答 内 容 的 进一步 细 化 ， 没 有 具体 的 规定 。 


下 面 是 几 个 常见 的 应 答 例 子 。 

125: 数据 连接 已 经 打开 ， 传 输 开始 。 
200: 已 处 于 就 绪 状 态 。 

214: 面向 用 户 的 帮助 信息 。 

331: 用 户 名 已 接受 ， 要 求 输入 口令 。 
425: 不 能 打开 数据 连接 。 

452: 写 文 件 出 错 。 

500: 语法 错误 (未 认可 的 命令 )。 
501: 语法 错误 〈 无 效 参数 )。 

502: 未 实现 的 MODE 类 型 。 


12.1.5 用 抓 包工 具 观察 FTP 协议 数据 包 


DOOOOOOO DO 


在 用 户 利用 FTP 协 议 进 行文 件 传输 的 过 程 中 ,客户 端 和 服务 器 端 要 交互 很 多 的 数据 包 。 
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下 面 通过 抓 包 工具 Wireshark 捕获 这 些 数据 包 ， 并 进行 观察 ,以 便 更 深入 地 理解 FTP 协议 。 
假设 一 台 IP 地 址 为 192.168.64.1 的 计算 机 以 用 户 名 abc 和 密码 123 登录 ， ee IP 

地 址 为 192.168.64.205 的 服务 器 上 下 载 了 一 个 名 为 test.rar 的 文件 ， 然 后 退出 。 在 这 个 过 

中 ，Wireshark 抓 到 的 数据 包 如 图 12-2 所 示 。 


全 说 明 : 抓 包 时 可 设置 host 192.168.64.205 过 滤 规 则 ， 避 免 其 他 数据 包 的 干扰 。 


28 21. 8019370 192.168.64.1 192.168. 64.205 TCP 54 52628 > ftp [ACK] Seq=l Ack=l win=8192 Len=0 
29 21.8044850192.168.64.205 192.168. 64.1 FTP 74 Response: 220 (vsFTPd 2.2.2) 
[30 22.0062110192.168.64.205 192.168.64.1 mr" Pm LP Rerransmi55ionj Response; 220 (vsFTPd 2 】 
31 22.0062560192.168.64.1 192.168.64.205 TEP 66 52628 > ftp [ACK] Seq=1 Ack=21 win=8172 Len=0 
32 23.4738850 192.168.64.1 192.168. 64.205 FTP 64 Request: USER frp 
33 23.4741380 192.168. 64.205 192.168.64.1 TCP 54 ftp > 52628 [ACK] Seq=21 Ack=11 Win=14720 Len' 
34 23.4744450 192.168.64.205 192.168.64.1 FTP 88 Response; 331 Please specify the password. 
35 23. 6735470 192,168.64,1 192.168. 64.205 TEP 54 52628 > frp [ACK] Seq=11 Ack=55 Win=8138 Len=l 
36 24.0090140 fe80: :b930:8896:62: 证 SSDP 208 M-SEARCH * HTTP/1.1 
37 24.0090560 fe80: :8814:eeab:60eff02:: SSDP 208 M-SEARCH w HTTP/1.1 
38 24. 6423310 192.168.64.1 192.168. 64.205 FTP 61 Request: PASS 
39 24. 6441590 192.168. 64. 205 192.168. 64.1 FTP 77 Response: 230 Login successful. le| 
40 24. 8436270 192.168. 64.1 192.168.64.205 TCP 54 52628 > ftp [ACK] seq=18 Ack=78 Win=8115 Len=l 
| 4124.9936950192.168.64.205 221.204.244.37 Tp 7445694 > sunrpc [SYN] Seq=0 Win=14600 Len=0 Ms: 
42 26.1131840 192.168.64.1 192.168.64.255 BROWSEF 243 Host Announcement ZGC-20121007KUP, worksrariol 
43 26.1135750 192.168. 52.1 192.168. 52.255 BROWSEF = 243 Host Announcement ZGC-20121007KUP, Workstatio! 
BZ Broadcast ARP 42 Who has 192.168. 64.2? Te11 192.168.64.1 
45 27. 0088690 fe80， 60eff02::c SSDP 208 M-SEARCH * HTTP/1.1 | 
46 27.0088280 fe80: :b930: S006: :623ff02::C SsDp 208M-SEARCH * HTTP/1.1 | 
47 27.9854820 Vmware_c0:00:08 Broadcast ARP 42 who has 192.168.64.2? Te11 192.168.64.1 | 
| 4828.0333870192.168.64.205 221.204.244.37 TP 74 37033 > sunrpc [SYN] Seq=0 Win=14600 Len=0 MS: 
49 28. 9838730 vmware_c0:00:08 Broadcast ARP 42 Who has 192.168. 64.2? Te11 192.168.64.1 | 
| 50 29.0464430192.168.64.205 221.204.244.37 Tp 74 37033 > sunrpc [SYN] Seq-0 Win-14600 Len-0 Ms; 
51 30.0139070 fe80:;8814:eeab:60eff02::c SSDP 2 MSE HTTP/1.1 
52 30.0135360 Vmware_c0:00:08 Broadcast ARP 2 Who has 192.168. 64.2? Te11 192.168.64.1 
53 30. 0138480 fe80: :b930:8896:623ff02::c SSDP 208 M-SEARCH * HTTP/1.1 | 
54 30. 9806620 vmware_c0:00:08 Broadcast ARP 42 Who has 192,168.64.27 Te11 192.168. 64.1 | 
| 5531.0588460192.168.64.205 221.204.244.37 TP 74 37033 > sunrpc [SYN] seq=0 Win-14600 Len~0 MS: 
56 31.9946160 vmware_c0:00:08 Broadcast ARP 42 Who has 192.168. 64.2? Te11 192.168.64.1 | 
57 33.8653830 192.168.64.1 192.168. 64.205 FTP 63 Request: CwD pub 
58 33. 8657080 192.168.64.205 192.168.64.1 FTP 91 Response: 250 Directory successfully | | 
59 34.0231270 fe80::b930:8896:623ff02: :Cc SSDP 208 M-SEARCH * EE 二 
60 34.0231690 fe80: :8814:eeab:60eff02::c SSDP 208 M-SEARCH * | 
61 34.0850480192.168.64.1 192.168. 64.205 TCP 54 52628 > ftp -二 ET Ack=115 Win=8078 Len 
| 62 35.0680640192.168.64.205 221.204.244.37 Tp ~ 74 37033 > sunrpc [SYN] Seq-0 Win-14600 Len=0 MS 
63 36.0665820 Vmware_c0:00:08 i ARP 42 who has 192.168. 64.2? Te11 192.168,64.1 | 
64 37.0337790 fe80: :8814:eeab:60eff02:: SSDP 208 M-SEARCH * HTTP/1.1 
65 36.9455630192.168.64.1 192. 168. 64.205 FTP 60 Requesr: QUIT 
66 36.9458980 192.168.64.205 192.168.64.1 FTP 68 Response: 221 Goodbye. 
| 。 67 36.9461320192.168.64.205 192.168.64.1 Tp 54ftp> 52628 [FIN, ACK] seq-129 Ack=33 Win=147; 
68 36.9461660192.168.64.1 192.168.64.205 TCP 54 52628 > ftp [ACK] Seq=33 Ack=130 Win=8064 Lem 
| 6936.9479490192.168.64.1 192.168-64.205 Tp ~ 54 52628 > ftp [FIN, ACK] Seq-33 Ack=130 Win=806, 
70 36. 9481410 192.168. 64.205 192.168.64.1 TCP 54 ftp > 52628 [ACK] Seq-130 Ack=34 win=14720 Lel ~ 
“ll 加 WE 
(© | Fle: "Ci\Users\ADMINI~1\AppData\LocaN\... | Packets: 80 Displayed: 80 Marked: 0 Dropped: 0 Profie: Defauk 


图 12-2 ”Wireshark 抓 到 的 FTP 数据 包 


从 图 12-2 可 以 看 出 ,客户 机 192.168.127.1 向 服务 器 的 21 号 端口 发 起 TCP 连接 , 通过 
编号 为 6、7、8 的 3 个 数据 包 完 成 了 TCP 3 次 握手 ， 建立 了 TCP 连接 。 当 连接 建立 后 ， 服 
务 器 通过 数据 包 29 向 客户 端 发 送 了 220 应 答 , 表示 处 于 就 绪 状 态 ， 可 以 接受 新 命令 。 数 据 
包 30 和 31 是 客户 端 向 服务 器 发 送 的 TCP 确认 数据 包 。 

接着 ， 客 户 端 通过 数据 包 32 向 服务 器 发 送 了 USER 命令 ， 表 示 要 登录 ， 后 面 跟 的 是 
日 户 名 ftp。 当 服务 器 收 到 USER 命令 后 ， 通 过 数据 包 34 向 客户 端 发 送 了 331 应 答 ， 表 示 
用 户 名 已 接受 ， 要 求 输入 口令 。 于 是 ， 客 户 端 通过 数据 包 38 发 送 了 Response 命令 ， 后 面 
加 上 了 密码 PASS。 


全 说 明 : 这 里 也 可 以 看 出 ，FTP 用 户 的 密码 在 网 络 中 是 以 明文 传输 的 ， 在 传输 过 程 中 很 容 
易 被 人 窃取 ， 因 此 就 这 点 而 言 ，FTP 协议 是 不 够 安全 的 。 


当 服务 器 端 得 到 密码 ， 并 验证 其 正确 性 后 ， 通 过 数据 包 39 给 出 了 230 应 答 ， 告 诉 客 
户 端 登录 成 功 ， 可 以 继续 发 送 命令 。 客户 端 通过 数据 包 57 发 送 了 一 个 CWD 命令 , 这 条 命 
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令 告 诉 服务 器 我 要 切换 当前 的 目录 。 于 是 ， 服 务 器 通过 数据 包 58 给 出 了 应 答 250， 表 示 文 
件 行为 完成 。 

当 目 录 改 变 后 , 客户 端 通过 数据 包 65 给 出 了 QUIT 命令 , 表示 要 退出 ; 服务 器 通过 数 
据 包 66 响应 了 221 应 答 ， 再 由 服务 器 发 起 ， 通 过 数据 包 67、68、69 拆除 了 控制 连接 ， 至 
此 ，FTP 会 话 结束 。 也 就 是 说 ， 控 制 连接 在 整个 FTP 会 话 过 程 中 是 一 直 存 在 的 ， 控 制 连接 
的 拆除 也 就 意味 着 FTP 会 话 的 结束 。 


12.2 FTP 客户 端 


FTP 服务 是 Internet 上 最 常用 的 服务 之 一 。 对 于 上 网 用 户 来 说 ，FTP 客户 端 工具 是 一 种 
必 备 的 软件 ， 通 过 FTP 客户 端 从 Internet 下 载 文 件 也 是 一 种 必 备 的 技能 。 下 面 先 介绍 几 个 使 
用 FTP 客户 端 前 必须 了 解 的 知识 ， 再 介绍 常用 FTP 客户 端 命令 ， 以 及 图 形 界 面 的 客户 端 。 


12.2.1 数据 连接 的 主动 方式 和 被 动 方式 


上 一 节 提 到 ，FTP 传输 文件 数据 前 ， 要 先 建立 一 个 数据 连接 ， 然 后 要 通过 数据 连接 传 
输 文 件数 据 。 建 立 数据 连接 可 以 有 两 种 方式 : 主动 方式 和 被 动 方式 。 有 具体 选用 哪 种 方式 ， 
是 由 客户 端 决 定 的 。 客 户 端 在 上 传 下 载 文件 数据 前 ， 要 先 发 送 一 个 PORT 或 PASYV 命令 
分 别 表示 采用 主动 方式 或 被 动 方 式 。 

主动 和 被 动 是 相对 服务 器 而 言 的 ， 如 果 数 据 连 接 是 由 服务 器 首先 发 起 的 ， 称 为 主动 方 
式 ， 如 果 是 由 客户 端 首先 发 起 的 ， 则 称 为 被 动 方式 。 可 见 ， 主 动 方式 和 被 动 方式 的 区 别 就 
在 于 开始 时 ， 是 由 哪 一 方 首先 发 起 TCP 连接 的 。 

在 主动 方式 下 ， 客 户 端 将 首先 通过 PORT 命令 向 服务 器 发 送 自己 的 一 个 空闲 端口 号 ， 
然后 服务 器 通过 默认 的 20 端口 向 客户 端 提供 的 这 个 端口 发 起 连接 请 求 ,成 功 后 建立 了 数据 
连接 。 

如 果 采 用 被 动 方式 ， 则 客户 端 发 送 的 是 PASV 命令 ， 服 务 器 端 回应 了 一 个 端口 号 ， 告 
诉 客户 端 它 将 在 这 个 端口 监听 来 自 客户 端的 TCP 连接 请 求 。 于 是 ,客户 端 向 服务 器 的 这 个 
端口 发 起 了 连接 请 求 ， 成 功 后 也 建立 了 数据 连接 。 

在 全 开放 的 网 络 环境 下 ， 不 管 采 用 哪 一 种 方式 ， 都 能 正常 地 建立 数据 连接 ， 传 输 的 效 
率 也 是 一 样 的 。 因 此 ， 对 用 户 来 说 是 没有 区 别 的 。 但 是 ， 如 果 在 客户 端 和 服务 器 之 间 的 网 
络 传输 路 径 中 有 防火 墙 存在 的 时 候 ， 情 况 就 完全 不 一 样 了 。 

首先 考虑 第 一 种 情况 ， 如 图 12-3 所 示 。 出 于 安全 方面 的 考虑 ， 在 FTP 服务 器 和 公 网 
之 间 安 装 了 防火 墙 , 假设 防火 墙 对 公 网 只 开放 了 21 端口 。 也 就 是 说 ， 外 界 的 计算 机 可 以 通 
过 21 端口 和 服务 器 建立 TCP 连接 ， 但 通过 其 他 端口 则 不 行 。 这 样 ，FTP 客户 端 可 以 主动 
与 服务 器 21 号 端口 建立 TCP 连接 ， 也 就 是 控制 连接 。 但 在 建立 数据 连接 的 时 候 ， 情 况 就 
有 点 复杂 了 ， 采 用 不 同 的 连接 方式 会 有 不 同 的 结果 。 

如 果 采 用 主动 方式 ,是 由 服务 器 通过 20 号 端口 向 客户 端 事先 提供 的 一 个 端口 发 起 TCP 
连接 请 求 。 由 于 从 内 部 到 公 网 的 数据 包 是 可 以 穿 过 防火 墙 的 ， 于是， 这 个 TCP 请 求 数据 包 
就 可 以 顺利 地 到 达 客 户 端 ， 正 常 地 建立 数据 连接 。 因 此 ， 在 这 种 情况 下 ， 采 用 主动 方式 时 
FTP 是 可 以 正常 地 工作 的 。 
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图 12-3 服务 器 端 有 防火 墙 


现在 再 来 看 一 下 采用 被 动 方式 的 情况 。 此 时 ， 数 据 连接 是 由 客户 端 主动 首先 发 起 的 ， 
客户 端 要 发 一 个 TCP 连接 请 求 数据 包 到 服务 器 所 提供 的 端口 ,这 个 端口 号 是 随机 的 。 由 于 
防火 墙 只 对 外 开放 了 有 限 的 端口 , 客户 端 到 服务 器 随机 端口 的 这 个 TCP 连接 请 求 数 据 包 一 
般 情况 下 肯定 是 要 被 挡住 的 。 因 此 无 法 建立 数据 连接 ， 双 方 也 就 无 法 传输 文件 数据 了 ， 只 
能 通过 控制 连接 交换 命令 和 应 答 ， 这 是 没有 意义 的 。 因 此 ， 这 种 情况 下 ， 如 果 采 用 被 动 方 
式 的 话 ，FTP 就 不 能 正常 地 工作 了 。 

再 考虑 第 二 种 有 防火 墙 的 情况 ， 如 图 12-4 所 示 。 防 火 墙 是 在 客户 端 这 一 边 的 ， 也 就 是 
说 , 客户 端 和 公 网 之 间 是 通过 防火 墙 隔离 的 , 并 且 很 多 时 候 , 这 个 防火 墙 还 兼 有 NAT 功能 。 
如 果 采 用 主动 方式 连接 , 服务 器 是 没 办 法 透 过 防火 墙 和 客户 端 建立 数据 连接 的 。 因此 , FTP 
也 就 不 能 正常 地 工作 了 。 


客户 端 防火 墙 服务 器 
图 12-4 ”客户 端 有 防火 墙 
此 时 ， 可 以 采用 被 动 方式 ， 也 就 是 说 ， 由 客户 端 首先 发 起 数据 连接 请 求 。 由 于 这 个 请 
求 数 据 包 也 是 从 内 网 到 公 网 的 , 因此 能 够 顺利 地 穿 过 


所 Windoys 安全 营 报 加 
防火 墙 ， 可 能 需要 再 经 过 了 NAT 地 址 转换 后 ， 与 服 的 全 和 和 于 于 
务 器 顺利 地 建立 了 数据 连接 , FTP 也 就 能 够 正常 地 工 LL 
作 了 了: or 

在 Windows XP 下 ,如 果 开 启 了 本 机 防火 墙 功能 ， [CE MEW ] [和 四 


在 使 用 FTP 客户 端 工 具 并 采用 主动 方式 建立 数据 连 i 
接 时 ， 可 能 会 看 到 类 似 图 12-5 所 示 的 警报 对 话 框 ， ; 一 一 一 
告诉 用 户 由 FTP 服务 器 发 起 的 数据 连接 请 求 被 本 机 图 25 Windows XP 下 的 防火 增 若 报 
防火 墙 阻止 了 ， 请 用 户 做 相应 处 理 。 此 时 ， 如 果 单 击 了 “解除 阻止 ” 按钮， 也 可 以 正常 地 
建立 数据 连接 。 


全 说 明 : 考虑 到 FTP 协议 的 这 些 情况 ， 现 在 有 很 多 防火 墙 采取 了 一 些 措施 ， 能 够 在 上 述 两 
种 情况 下 根据 控制 连接 判别 出 FTP 数据 连接 请 求 ， 并 且 予 以 放行 ， 于 是 数据 连接 
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也 可 以 顺利 地 建立 起 来 . 但 在 更 复杂 的 情况 下 ,如 改变 默认 的 控制 连接 端口 (21) 
和 数据 连接 端口 (20) ， 大 部 分 的 防火 墙 还 是 无 能 为 力 的 。 


12.2.2 ”匿名 账号 


大 部 分 的 操作 系统 都 要 经 过 授权 后 才能 访问 系统 资源 。FTP 客户 端的 功能 是 要 对 服务 
器 上 的 文件 资源 进行 各 种 各 样 的 操作 ， 必 然 也 要 经 过 授权 后 才能 操作 。 因 此 ，FTP 客户 端 
与 服务 器 建立 控制 连接 后 ， 要 先 用 USER 和 PASS 命令 进行 登录 ， 成 功 后 服务 器 才 会 接受 
其 他 命令 。 但是， 由 于 Internet 上 的 FTP 服务 器 为 数 众多 ， 如 果 用 户 从 FTP 服务 器 下 载 文 
件 前 ， 都 事先 要 得 到 该 服务 器 上 的 一 个 账号 ， 还 是 非常 困难 的 。 

为 了 方便 用 户 ，FTP 协议 规定 了 一 种 匿名 账号 的 机 制 。 即 用 户 可 以 使 用 一 个 通用 的 账 
号 登录 系统 ,然后 就 可 以 发 送 FTP 命令 对 服务 器 进行 操作 。 当然, 为 了 服务 器 系统 的 安全 ， 
这 个 匿名 账号 的 操作 权力 一 般 是 非常 有 限 的 ， 只 能 做 一 些 列 出 目录 、 下 载 文件 等 读 取 权 限 
的 操作 。 另 外 ， 并 不 是 每 一 个 FTP 服务 器 都 会 支持 匿名 账号 ， 只 有 服务 器 管理 员 觉 得 有 必 
要 的 时 候 才 会 配置 。 


外 说 明 : 匿名 用 户 的 用 户 名 是 anonymous， 按 规定 密码 要 求 是 一 个 Email 地 址 ， 但 在 大 部 
分 的 情况 下 ， 密 码 可 以 是 任意 一 个 字符 串 。 


用 普通 账号 登录 时 ， 该 账号 是 和 操作 系统 中 的 同名 账号 相对 应 的 ， 它 们 的 权限 也 是 一 
致 的 。 匿 名 账号 一 般 也 要 和 操作 系统 中 的 某 一 具体 账号 相对 应 ， 该 账号 的 权限 就 决定 了 匿 
名 账号 的 权限 ， 只 不 过 登录 时 采用 了 一 个 通用 的 账号 名 。 

匿名 账号 的 引入 大 大 方便 了 Internet 用 户 从 FTP 服务 器 下 载 文件 ， 这 也 是 FTP 服务 能 
在 Internet 上 用 得 如 此 广泛 的 一 个 重要 原因 。 


12.2.3 ”数据 传输 的 ASCII 模式 和 二 进 制 模式 


在 12.1.2 节 中 提 到 ， 在 数据 连接 中 传输 文件 数据 时 ，FTP 协议 规范 提供 了 控制 文件 传 
送 与 存储 的 多 种 选择 。 其 中 ， 文 件 类 型 提供 的 选项 可 以 是 ASCI、EBCDIC、 二 进 制 和 本 
地 模式 ， 但 实际 的 FTP 服务 器 一 般 只 支持 ASCI 和 二 进 制 模式 。 因 此 ， 当 客户 端 上 传 下 载 
文件 时 ， 必 须 指 定 这 两 种 模式 中 的 一 种 。 

ASCII 模式 也 称 为 文本 模式 ， 该 选项 要 求 传送 方 在 传输 数据 前 ， 先 将 本 地 文件 转换 成 
ASCII 码 的 形式 ， 再 传送 到 网 络 。 而 接收 方 要 将 从 网 络 中 收 到 的 ASCII 码 还 原 成 本 地 文件 
格式 ， 再 存 入 外 存 。 而 二 进 制 模式 是 不 做 任何 转换 的 ， 认 为 传输 的 数据 是 一 个 连续 的 比特 
流 ， 没 有 任何 的 格式 。 

在 ASCII 模式 下 ， 由 于 存在 着 编码 转换 ， 即 使 传输 双方 存储 文本 文件 时 采用 不 同 的 编 
码 规定 ， 传 输 的 结果 也 可 能 是 正确 的 。 例如， 在 DOS、Windows 等 系统 中 ， 在 文本 文件 的 
换行 处 存储 了 回 车 (CR) 和 换行 (LF) 两 个 符号 , 而 Linux 系统 规定 只 需 存储 一 个 换行 (LF) 
符 。 当 DOS、Windows 系统 把 文本 文件 传 给 Unix 系统 时 , 如 果 采 用 文本 模式 传输 , 则 Unix 
系统 在 存储 时 会 把 CR/LF 两 个 符号 变 为 LF 一 个 符号 ,而 Linux 系统 把 文本 文件 传 给 DOS、 
Windows 系统 时 ， 会 做 相反 的 转变 。 

但 是 ， 如 果 采 用 二 进 制 模式 传输 文本 文件 的 话 ， 由 于 它 不 会 对 编码 做 任何 的 转换 。 
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此 ， 上 述 的 CRMLF 和 LF 之 间 不 会 自动 转换 ， 会 造成 传输 结果 的 不 正确 。 同 样 ， 如 果 采 用 
ASCII 模式 传输 二 进 制 文件 ， 则 FTP 会 把 二 进 制 文件 中 
ER el 
与 CR，LF 等 编码 相同 的 字 节 理解 成 回 车 、 换 行 等 符号 ， -一 
从 而 也 会 造成 传输 结果 的 不 正确 。 rp 
为 了 进一步 说 明文 本 模式 和 二 进 制 模式 的 区 别 ,下 面 ED 抽 
看 一 个 例子 。 如 图 12-6 所 示 ， 在 Windows 7 的 记事 本 中 Et eed < 


ftp. enu. org 


输入 图 示 内 容 ， 并 以 test.txt 的 文件 名 保存 ， 于 是 ，test.txt ftp gnome arg 
就 是 一 个 文本 文件 。 接 着 ， 把 test.txt 文件 分 别 以 ASCIT | 人 ienelo" 
模式 和 二 进 制 模式 上 传 到 Linux 6 系统 ， 在 Linux 下 用 vi ED ei 


ftp-stud. fht-esslingen. de 


命令 查看 test.txt 文件 内 容 时 ， 会 分 别 看 到 如 图 12-7 和 图 Bi ec et 
12-8 所 示 的 结果 。 Ep. sora to oe 

图 12-7 所 示 的 传输 结果 是 符合 要 求 的。 采用 ASCII eh 
模式 传输 时 ,原来 test.txt 文 件 中 换行 处 的 CR/LF 到 了 Linux . 
系统 后 变 为 了 LF， 符 合 Linux 系统 文本 文件 的 换行 规定 。 ”图 2-6 testbt 文件 的 原始 内 容 
但 采用 二 进 制 模式 传输 时 ， 由 于 没有 自动 转换 ，test.txt 文件 到 了 Linux 系统 后 ， 换 行 处 还 是 
CR/LF。 因 此 ， 当 显示 vi 命令 时 ， 认 为 CR 是 一 个 文本 符号 ， 以 ^M 的 方式 显示 出 来 。 

下 面 把 正确 结果 的 test.txt( 换 行 处 只 有 LF, 原来 以 ASCII 模式 传 上 去 的 ) 分 别 以 ASCII 
模式 和 二 进 制 模式 重新 下 载 到 Windows 7 中 ， 再 用 记事 本 进行 显示 ， 可 以 发 现 ， 以 ASCII 
模式 下 载 的 test.txt 显示 结果 还 是 和 图 12-6 一 样 ， 但 以 二 进 制 模式 下 载 的 test.txt 就 不 一 样 
了 ， 其 结果 如 图 12-9 所 示 。 


root@localhost:~ 


root@localhost:~ 


文件 (E) 编辑 (E) 查看 (V) 搜索 (5) ET 帮助 (H) 文件 (E) 编辑 (E) 查看 (V) 搜索 (5) 。 络 喘 (T) 帮助 (HI) 


tp. redhat . 
ee se CO 
ftp. suse. com ftp.debian.org"M 
ftp. debian.org ftp.openbsd.org^M 
ftp.openbsd.org ftp. fresbsd. org*M 
ftp. freebsd.org ftp.gnu. org"M 
ftp.gnu.org ftp.gnome ,org 
ftp.gnome.org ftp.kde.org"M 
ftp.kde.org ftp.kernel .orgM 
ftp.kernel.org rpafind.net 
ftp. linux.org. wk"M 
rpmfind ,net ftp.gimp org 
ftp. linux.org.uk ttp-stud. fht-esslingen.de^M 
ftp.gimp.org gd.turien.ac.at*M 
ftp-stud, fht-esslingen. de |ftp.xinian. com'M 
gd. turien.ac.at Iftp.engardelinux.org*M 
ftp.xinian. com Iftp. sunsite.org.ukM 
ftp.engardelinux.org |rtp.isc.org"™m 
ftp, sunsite.org. uk 上 
ftp.isc.org 上 
| 
上 
1,1 全 部 时 |<st.txt”[dos] 18L，3335 1,1 全 部 
图 12-7 ASCII 模式 上 传 的 testtxt 文件 图 12-8 二 进 制 模式 上 传 的 test.txt 文件 
本 testba -记事 本 Eel 


文件 (| 编 沁 (E) 想 式 (O) 可 看 (V) 帮助 (H) 

ftp. redhat. comftp. suse. comftp. debian. orgftp. openbsd. orgftp. freebsd. orftp. gnu. ~ 
orgftp. gnome. orgftp. kde. orgftp. kernel. orgrpmfind. netftp. linux. org. ukftp. gimp. 
orgftpstud. fhtesslingen. degd. turien. ac. atftp. xinian. comftp. engardelinux. orgft 

p. sunsite. org. ukftp. isc. org 


图 12-9 二进制 方式 下 载 的 test.txt 文件 
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可 见 , 用 ASCII 模式 传输 时 , 得 到 了 符合 要 求 的 结果 , 因为 testtxt 回 到 Windows 7 时 ， 
换行 处 的 LF 重新 变 为 了 CR/LF, 符合 Windows 系统 的 换行 规定 。 但 用 二 进 制 模式 传输 时 ， 
test.txt 文件 回 到 Windows 7 后 ， 换 行 处 还 是 一 个 LF， 记 事 本 并 不 会 把 LF 理解 成 是 换行 。 
因此 ， 在 原来 的 换行 处 现在 不 换行 了 ， 而 是 连续 显示 出 来 。 


全 注意 : 当 显示 时 ， 记 事 本 的 自动 换行 功能 不 要 启用 . 


由 此 可 见 ， 在 不 同 的 操作 系统 之 间 ， 文 件 只 有 以 ASCII 模式 进行 传输 ， 才 能 得 到 正确 

的 结果 。 同 样 道 理 ， 对 于 exe、rar 等 二 进 制 文件 ， 也 只 有 采用 二 进 制 模式 传输 ， 结 果 才 会 
正确 ， 如 果 采 用 文本 模式 进行 传输 ， 也 会 得 到 不 正确 的 结果 ， 读 者 可 以 自行 测试 。 
在 很 多 的 FTP 客户 端 工 具 中 , 提供 了 一 种 自动 模式 来 代替 ASCII 和 二 进 制 模 式 。 实际 
上 是 FTP 客户 端 根据 待 传输 文件 的 各 种 信息 判定 文件 的 类 型 ， 选 择 一 种 合适 的 传输 模式 。 
但 这 种 判断 并 不 一 定 总 是 正确 的 ， 有 时 也 会 出 现 误 判 ， 此 时 就 需要 手工 指定 ASCI 或 二 进 
制 模式 了 。 


12.2.4 FTP 客户 端 常 用 命令 详解 


早期 的 计算 机 系统 由 于 缺乏 图 形 界面 的 支持 ， 用 户 使 用 FTP 客户 端 工具 时 ， 一 般 是 通 
过 输入 命令 的 方式 对 FTP 服务 器 进行 操作 的 。 目 前 大 部 分 客户 机 都 有 完善 的 图 形 界 面 ,用 
户 不 需要 输入 FTP 命令 , 而 是 通过 鼠标 单 击 就 可 以 完成 所 有 的 FTP 操作 。 但是, 在 很 多 的 
时 候 ， 特别 是 在 一 些 调试 环境 下 进行 排 错 时 ,通过 FTP 命令 对 服务 器 进行 操作 还 是 必 不 可 
少 的 。 

在 大 多 数 的 操作 系统 中 ， 字 符 型 FTP 客户 端 工 具 均 是 默认 安装 的 。 在 Windows 的 命 
令 提示 符 窗口 或 Linux 的 命令 提示 符 后 面 输 入 ftp 命令 , 均 会 出 现 FTP 的 命令 提示 符 ftp>， 
FTP 客户 端 命令 要 求 要 输 在 ftp> 后 面 。 

在 ftp> 后 输入 help 命令 ， 可 以 把 字符 型 FTP 客户 端 所 支持 的 命令 都 显示 出 来 ， 如 
图 12-10 所 示 。 下 面 介绍 一 些 常 用 FTP 命令 的 功能 和 使 用 方法 。 


画 CWindows\system32\cmd.exe - ftp [= © 
:sers\yztx-8)ftp 


命令 可 能 是 缩写 的 。 命令 为 : 
delete literal prompt send 
dehug ls put status 
ppend dir ndelet' pud trace 
这 disconnec: t ndir quit type 
1 get nget quot' user 
inary glob mkdir recv verhose 
ye hash mls renotehelp 
help mput renane 
led open rndir 


图 12-10 FTP 客户 端 支持 的 命令 
bye 
功能 : 与 服务 器 断 开 所 有 连接 ， 退 出 fp 命令 状态 ， 回 到 操作 系统 。 
全 说 明 : 与 QUIT 命令 相同 ， 也 可 以 用 “!” 代替。 
help [命令 名 ] 
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功能 : 显示 ftp 命令 帮助 信息 。 

说 明 : 

口 可 以 用 “?” 代 替 help 命令 。 

口 没有 指定 命令 名 称 时 ， 显 示 所 支持 命令 的 列表 。 
口 可 以 指定 命令 名 ， 此 时 显示 该 命令 的 帮助 信息 。 


append < 本 地 文件 > 【远程 文件 ] 


功能 : 将 < 本 地 文件 > 上 传 并 附加 到 FTP 服务 器 上 的 [远程 文件 ] 后 面 。 

说 明 : 

口 没有 指定 [远程 文件 ] 时 ， 默 认 和 < 本 地 文件 > 一 样 

口 如 果 指 定 的 [远程 文件 ] 不 存在 ， 则 上 传 后 文件 名 即 为 [远程 文件 ， 此 时 的 功能 也 和 
put 命令 一 样 。 


ascii 


功能 : 将 文件 传输 模式 设置 为 ASCII 方式 。 

说 明 : 

口 ASCII 方式 是 默认 的 工作 方式 。 

口 传送 文本 文件 时 使 用 该 方式 。 

口 设 为 文本 模式 后 ， 将 一 直 对 后 面 的 有 关 命 令 起 作用 ， 除 非 用 binary 命令 改 为 二 进 
制 模式 。 


binary 


功能 : 将 文件 传输 模式 设置 为 二 进 制 模式 。 

说 明 : 

口 除了 文本 文件 以 外 ， 大 部 分 文件 都 应 该 使 用 该 二 进 制 模式 传输 。 

口 设 为 二 进 制 模式 后 , 将 一 直 对 后 面 的 有 关 命令 起 作用 , 除非 用 ascii 命令 改 为 ASCII 
模式 。 

cd < 远程 目录 路 径 > 


功能 : 更 改 远程 计算 机 上 的 当前 工作 目录 。 

说 明 : 

口 默认 的 工作 目录 是 当前 用 户 在 操作 系统 中 的 工作 目录 。 
口 当前 登录 的 用 户 在 操作 系统 中 必须 有 访问 该 目录 的 权限 。 
口 er nt 是 “/” 而 不 是 “\”。 

口 …” 表 示 退 到 上 一 级 目录 ,“cd/” 表示 退 到 根 目录 。 


delete < 远程 文件 > 

功能 : 删除 远程 计算 机 当前 工作 目录 下 的 文件 。 

说 明 : 

口 文件 名 前 可 以 带路 径 ， 此 时 删除 其 他 目录 中 的 文件 。 
不 能 使 用 通配符 “* ”和 “??”， 一 次 只 能 删除 一 个 文件 。 


。244 。 


第 12 章 架设 FTP 服务 器 


口 当前 用 户 在 操作 系统 中 必须 有 删除 该 文件 的 权限 。 
qir [远程 目录 路 径 ] [本 地 文件 ] 


功能 :显示 指定 的 远程 目录 路 径 下 的 文件 和 子 目录 列表 。 

说 明 : 

口 如 果 没 有 指定 [远程 目录 路 径 ]， 则 显示 远程 主机 的 当前 工作 目录 内 容 。 

口 显示 的 格式 相当 于 ls -1 命令 。 

口 指定 [远程 目录 路 径 ] 后 再 指定 [本 地 文件 ] 时 ， 则 显示 结果 要 下 载 到 本 地 文件 中 。 
get < 远程 文件 > [本 地 文件 ] 


功能 : 从 FTP 服务 器 下 载 指定 的 远程 文件 到 本 地 计算 机 。 
说 明 : 

口 文件 传输 模式 事先 由 ascii 或 binary 命令 指定 。 

可 以 用 Icd 命令 预先 指定 本 地 文件 存放 的 本 地 目录 。 

[本 地 文件 ] 没 有 指明 时 ， 文 件 名 和 < 远程 文件 > 一 样 。 
文件 名 前 可 以 带路 径 ， 此 时 下 载 其 他 目录 中 的 文件 。 
不 能 使 用 通配符 “*” 和 “2?” 一 次 只 能 下 载 一 个 文件 。 
lcd [本 地 目录 路 径 ] 


功能 :更改 本 地 计算 机 上 的 工作 目录 到 指定 的 目录 。 

说 明 : 

口 默认 情况 下 ， 本 地 工作 目录 是 在 操作 系统 提示 符 下 输入 fp 命令 时 所 在 的 目录 。 
口 如 果 没 有 指定 [本 地 目录 路 径 ]， 将 显示 本 地 计算 机 中 当前 的 工作 目录 。 

口 注意 和 cd 命令 的 区 别 。 

1s 【远程 目录 路 径 ] [本 地 文件 ] 


功能 : 显示 指定 的 远程 目录 路 径 下 的 文件 和 子 目录 列表 。 

说 明 : 

口 以 缩写 形式 显示 ， 即 只 显示 子 目录 名 和 文件 名 ， 其 余 信息 不 显示 。 

口 如 果 没 有 指定 [远程 目录 路 径 ]， 则 显示 远程 主机 的 当前 工作 目录 内 容 。 

口 可 以 带 -|、-a 等 参数 。 

口 指定 [远程 目录 路 径 ] 后 再 指定 [本 地 文件 ] 时 ， 则 显示 结果 要 下 载 到 本 地 文件 中 。 
mdelete < 远程 文件 > [...] 


功能 :删除 远程 计算 机 上 的 指定 文件 。 

说 明 : 

口 [..] 表 示 后 面 可 以 跟 多 个 文件 ， 这 样 一 次 就 可 以 删除 多 个 文件 。 
口 文件 名 前 可 以 带路 径 ， 此 时 删除 其 他 目录 中 的 文件 。 

口 在 Globbing 处 于 On 的 时 候 ,“*” 和 “2?” 代 表 的 是 通配符 。 
口 当前 用 户 在 操作 系统 中 必须 有 删除 文件 的 权限 。 

mdir < 远程 目录 路 径 > [...] < 本 地 文件 > 


口 
口 
口 
口 
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功能 :显示 远程 目录 文件 和 子 目 录 列 表 。 

说 明 : 

口 远程 目录 路 径 和 本 地 文件 都 要 指定 ， 如 果 不 指定 会 提示 输入 。 
口 [..] 表 示 可 以 指定 多 个 远程 目录 路 径 。 

口 < 远程 目录 路 径 > 可 用 “-” 代 替 ， 表 示 计 算 机 上 的 当前 工作 目录 。 
口 < 本 地 文件 > 可 用 “-” 代 蔡 ， 表 示 在 屏幕 上 显示 列表 。 

get < 远程 文件 > [...] 


功能 : 从 FTP 服务 器 下 载 指定 的 远程 文件 到 本 地 计算 机 。 

说 明 : 

口 文件 传输 模式 事先 由 ascii 或 binary 命令 指定 。 

口 可 以 用 lcd 命令 预先 指定 本 地 文件 存放 的 本 地 目录 。 

口 下 载 到 本 地 时 的 文件 名 和 < 远程 文件 > 一 样 。 

口 在 Globbing 处 于 On 的 时 候 ， 可 以 使 用 通配符 “*” 和 “??。 
mkdir < 远程 目录 路 径 > 


功能 : 在 远程 计算 机 上 创建 目录 。 
说 明 : 当前 用 户 在 操作 系统 中 必须 有 创建 文件 的 权限 。 
mls < 远程 目录 路 径 > [ ...] < 本 地 文件 > 


功能 :显示 远程 目录 文件 和 子 目 录 的 缩写 列表 。 

说 明 : 

口 远程 目录 路 径 和 本 地 文件 都 要 指定 ， 如 果 不 指定 会 提示 输入 。 
[..] 表 示 可 以 指定 多 个 远程 目录 路 径 。 

在 Globbing 处 于 On 的 时 候 ， 可 以 使 用 通配符 “*” 和 “?”。 

< 远程 目录 路 径 > 可 用 “-” 代 替 ， 表 示 计 算 机 上 的 当前 工作 目录 。 
< 本 地 文件 > 可 用 “-” 代 替 ， 表 示 在 屏幕 上 显示 列表 。 

mput < 本 地 文件 > [ ...] 


功能 : 将 本 地 文件 上 传 到 远程 计算 机 上 。 

说 明 : 

文件 传输 模式 事先 由 ascii 或 binary 命令 指定 。 

< 本 地 文件 > 前 可 以 带 目录 路 径 ， 也 可 以 用 lcd 命令 切换 到 本 地 文件 所 在 的 本 地 
目录 。 

[..:] 表 示 可 以 指定 多 个 本 地 文件 。 

上 传 到 远程 计算 机 的 文件 名 和 < 本 地 文件 > 一 样 ; 

在 Globbing 处 于 On 的 时 候 ， 可 以 使 用 通配符 “*” 和 “?”。 

当前 用 户 在 操作 系统 中 必须 有 创建 文件 和 写 文件 的 权限 。 

open < 主机 > [端口 号 ] 


功能 : 与 FTP 服务 器 建立 控制 连接 。 


口 
口 
口 
口 


口 口 


口 
口 
口 
口 
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说 明 : 

口 主机 可 以 是 IP 地 址 或 可 解析 成 卫 地 址 的 主机 名 称 。 

口 默认 情况 下 与 主机 的 21 号 端口 进行 连接 ， 也 可 以 指定 其 他 端口 号 。 

口 如 果 在 操作 系统 提示 符 后 输入 ftp 命令 时 , 后 面 跟 一 个 主机 名 , 则 会 自动 执行 open 
命令 。 

口 open 命令 执行 成 功 后 ， 如 果 自 动 登录 打开 〈 默 认 )， 会 自动 执行 user 命令 。 

Put < 本 地 文件 > [远程 文件 ] 


功能 : 将 本 地 文件 复制 到 远程 计算 机 上 。 

说 明 : 

文件 传输 模式 事先 由 ascii 或 binary 命令 指定 。 

< 本 地 文件 > 前 可 以 带 目录 路 径 ， 也 可 以 用 lcd 命令 切换 到 本 地 文件 所 在 的 本 地 
目录 。 

口 如 果 不 指定 [远程 文件 ， 上 传 到 远程 计算 机 的 文件 名 和 < 本 地 文件 > 一 样 。 

口 一 次 只 能 上 传 一 个 文件 ， 不 能 使 用 通配符 “* ”和 “?”。 

口 当前 用 户 在 操作 系统 中 必须 有 创建 和 写 文件 的 权限 。 

rename < 旧 远程 文 件 名 > < 新 远程 文件 名 > 


功能 : 重 命名 远程 文件 。 
说 明 : < 旧 远程 文件 名 > 必须 存在 ， 且 没有 与 < 新 远程 文件 名 > 同名 的 文件 。 
rmdir < 远程 目录 路 径 > 


功能 : 删除 远程 目录 。 

说 明 : 

口 < 远程 目录 路 径 > 内 必须 不 存在 文件 和 子 目录 。 
口 当前 用 户 在 操作 系统 中 必须 有 相应 的 权限 。 
user < 用 户 名 > [密码 ] [账号 ] 


功能 : 指定 远程 计算 机 的 用 户 。 

说 明 : 

口 如 果 密 码 不 指定 ， 但 是 需要 ， 会 提示 输入 密码 。 

口 如 果 账 号 不 指定 ， 但 是 需要 ， 会 提示 输入 账号 。 

除了 上 述 命令 外 ，FTP 客户 端 还 提供 了 很 多 其 他 命令 。 由 于 其 使 用 和 功能 比较 简单 ， 
此 处 不 再 详 述 ， 而 是 以 表格 的 形式 给 出 ， 如 表 12-2 所 示 。 


表 12-2 FTP 常用 命令 列表 


功能 说 明 
切换 响 铃 ， 决 定 每 个 文件 传送 命令 完成 后 是 否 响 铃 ， 默认 情况 下 ， 铃 声 是 
关闭 的 


close 无 结束 与 远程 服务 器 的 FTP 会 话 ， 但 还 在 他 命令 状态 
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名 称 参数 说 明 功能 说 明 
bk 无 切换 调试 状态 ， 当 打 开 时 ， 发 送 到 远程 计算 机 的 每 个 控制 命令 都 要 输出 ， 
默认 是 关闭 的 
disconnect 无 从 远程 计算 机 断 开 ， 保 留 ftp 提示 
glob 无 是 否 可 使 用 通配符 (* 和 ?)， 默 认 情况 下 ， 是 可 以 使 用 的 
hash 无 每 下 载 2 048 字 节 大 小 的 数据 块 时 ， 是 否 打 印 一 个 “#” 默认 是 不 打印 的 
help 命令 名 显示 ftp 命令 说 明 ， 没 有 指定 命令 时 ， -一 一 
literal 参数 名 向 远程 fp 服务 器 发 送 协商 参数 ， 与 quote 命令 功能 相 
prompt 无 用 mput 和 mget 上 传 下 载 多 个 文件 时 提示 3 全 默认 是 打开 的 
pwd 无 显示 远程 计算 机 上 的 当前 工作 目录 
quit 无 结束 与 远程 计算 机 的 FTP 会 话 并 退出 他 
quote 参数 名 向 远程 fp 服务 器 发 送 协商 参数 ， 与 literal 命令 功能 相同 
recy 文件 名 recy 命令 与 get 命令 相同 
remotehelp 命令 名 “| 由 远程 计算 机 显示 命令 帮助 
send 命令 名 ”| send 命令 与 put 命令 相同 
status 无 显示 当前 的 各 种 工作 状态 
trace 无 运行 fp 命令 时 是 否 显 示 每 个 数据 包 的 路 由 
type 模式 名 设置 或 显示 当前 文件 传输 模式 
Verbose 无 是 否 显示 传输 双方 详细 的 交互 信息 


下 面 是 一 个 FTP 命令 操作 的 简单 例子 。 


D:\>ftp 10.10.1.253 // 与 FTP 服务 器 10.10.1.253 建立 连接 
Connected to 10.10.1.253. 

220 (vosETed 2.0.7) 

User (10.10.1.253: (none)): anonymous // 以 匿名 用 户 登 录 

331 Please specify the password. 


Password: // 此 处 要 输入 密码 , 可 以 是 任何 字符 串 , 不 显示 
230 Login successful. Have fun. 
EEp> LS // 列 出 远程 用 户 工作 目录 下 的 文件 和 子 目录 


200 PORT command successful. Consider using PASV. 
150 Here comes the directory listing. 

banner 

pub 

test 

226 Directory send OK. 

ftp: 收 到 19 字 节 ， 用 时 0.00Seconds 19000.00Kbytes/sec. 


ftp> cd pub // 进 入 pub 子 目录 。 
250 Directory successfully changed 
ftp> 1s 7/ 列 出 文件 和 子 目录 ,此 时 当前 工作 目录 已 变 为 pub 目录 


200 PORT command successful. Consider using PASV. 
150 Here comes the directory listing. 

main.c 

my.txt 

nasmw.exe 

226 Directory send OK. 

ftp: 收 到 27 字 节 ， 用 时 0.00Seconds 27000.00Kbytes/sec. 


ftp> lcd d:\ // 把 本 地 计算 机 的 当前 工作 目录 改 为 d:\ 
Local directory now D:\. 
ftp> get main.c // 下 载 远 程 计算 机 上 的 main.c 文件 
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200 PORT command successful. Consider using PASV. 

150 Opening BINARY mode data connection for main.c (309 bytes). 
226 File send OK. 

ftp: 收 到 309 字 节 ， 用 时 0.00Seconds 309000.00Kbytes/sec. 

ftp> 


可 以 看 到 ， 相 对 平常 使 用 的 图 形 方式 ， 命 令 行 方式 相对 要 麻烦 。 
12.2.5 图 形 界面 的 FTP 客户 端 


为 了 方便 用 户 的 使 用 ， 出 现 了 大 量 图 形 界面 的 FTP 客户 端 ， 其 中 最 常用 的 浏览 器 实际 
上 也 支持 FTP 协议 。 如 果 在 浏览 器 的 地 址 栏 内 输入 “ftp://<ftp 服务 器 >”， 则 可 以 通过 浏览 
器 访问 FTP 服务 器 。 如 图 12-11 所 示 , 在 正 浏 览 器 的 地 址 栏 内 输入 ftp://ftp.redhat.com/pub/ 
redhat/， 则 ftp.redhat.com 服务 器 /pub/redhat/ 目 录 下 的 的 内 容 将 出 现在 IE 浏览 器 内 。 此 时 ， 
默认 情况 下 是 以 匿名 账号 登录 的 。 如 果 所 访问 的 FTP 服务 器 不 支持 匿名 账号 , 或 者 单 击 “ 设 
置 ”按钮 ， 选 择 Internet 选项 ， 然 后 在 Internet 对 话 框 中 选择 “高 级 ”按钮 将 “设置 ” 栏 中 
在 文件 资源 管理 器 和 “运行 ”对 话 框 中 使 用 直接 插入 自动 完成 功能 。 再 次 登录 FTP 服务 器 
时 ， 则 会 出 现 图 12-12 所 示 的 登录 框 ， 要 求 用 户 输入 一 个 FTP 用 户 账号 。 


Pe Sie//i92.158.127.130/ D+ 号 CX‖ 龟 rrp BRG=1lc2lecs x 


| FTP 根 位 于 192. 168. 127. 130 
| 车 要 在 WHndons 资源 答 理 器 中 查看 此 FTP 站 点， 请 间 击 “视图 ”， 然 后 单 击 
“在 由 ndows 资源 管理 器 中 打开 FTP 站 点 ” 


9/02/2012 12:00 上 午 已 录 pub 


图 12-11 用 IE 浏览 器 访问 FTP 服务 器 
i [| 


各 要 登录 到 该 FTP 服务 器 ， 请 键入 用 户 名 和 宇 码 *。 


rr 服务 器 192 168. 127.132 
用 户 名 四 1 

E202 

登录 后 ,可 以 村 这 个 服务 器 添加 到 你 83k 若 夫 ， 以 便 径 易 返回 。 


器 医 名 登录 内) 


ET" | 


图 12-12 正 浏 览 器 使 用 FTP 账号 登录 FTP 服务 器 


IE 浏览 器 出 现 FTP 服务 器 中 内 容 后 ， 可 以 通过 常规 的 鼠标 操作 在 本 地 计算 机 和 FTP 
服务 器 之 间 相 互 复制 文件 ， 也 就 是 上 传 和 下 载 文 件 。 此 时 的 传输 模式 是 自动 检测 的 ， 建 立 
数据 连接 时 采用 的 是 主动 方式 。 

另外 ，Red Hat Linux 6 下 面 的 Konqueror 浏览 器 也 具有 类 似 的 功能 。 如 图 12-13 所 示 
是 Konqueror 浏览 器 通过 FTP 协议 访问 ftp.redhat.com 服务 器 时 出 现 的 内 容 , 可 以 通过 常规 
的 鼠标 操作 在 本 地 计算 机 和 FTP 服务 器 之 间 上 传 和 下 载 文件 。 此 时 是 匿名 登录 的 ， 传 输 模 
式 是 自动 检测 的 ， 建 立 数据 连接 时 采用 的 是 主动 方式 。 可 以 通过 在 地 址 栏 内 输入 ftp:// 用 户 
名 @<ftp 服务 器 > 的 形式 用 非 匿名 用 户 登录 ， 如 图 12-14 所 示 。 
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La 身份 给 还 对 话 抠 
ftp://192.168.127.130/ - Konqueror 
文件 (F) 编辑 (E) 视 习 (V) 转 到 (G) 书签 (8) 工具 (T) 设置 (S) 窗 D(W) > 四 < 
审定 "全 "C9 问 ~ 国 ftpW1921681@v J» De 
[| 总 ;192.168.127.130 
pb 用 记名 :ab 
| 匿名 
让 中: [eee 
_ 记 住 需 码 
地 确定 (0) @ 阳江 (CI) 
图 12-13 用 Firefox 浏览 器 访问 FTP 服务 器 图 12-14 使 用 FTP 账号 登录 


除了 浏览 器 外 ，FTP 还 有 很 多 专用 的 客户 端 可 以 使 用 ， 而 且 功 能 更 加 强大 ， 使 用 也 更 
加 方便 。 其中， 最 有 代表 性 的 FTP 客户 端 是 CuteFTP 软件 ， 其 主 界面 如 图 12-15 所 示 。 可 
以 通过 “文件 ”|“ 传 输 类 型 ”命令 改变 传输 模式 ， 还 可 以 通过 选择 “工具 ”|“ 安 全 选项 ” 


二 、 、 区 
命令 ， 出 现 如 图 12-16 所 示 对 话 框 后 ， 选 择 数据 连接 的 建立 方式 。 
国 GiobalScApE -CutwFTP 83 Prolowioral 9310617132-197169127133 状态， 已 过 Ex | 
| 口交 件 日 ” 坊 术 上 昌 ”查看 MI 工具 (0) 窑 口 MD) 帮 动 [ [2 .2% EIEY 
PIE TIE CIEE 
主机 : 192.168.127.132 了 | BA: anonymous | za: Jiwo: 21 sOw | 
ET » 
EZ ET TR = 
二 EE 大 小 % [ E 
So E 2012118152. 县 pub 4.00 KB 文件 又 件 实 2012/312 qd 
Tencent Fles 4 2012/9/23 B24.. 
B Visual Studio.. 文件 突 2012/3/13 9.38... 
和 立交 20128/14174- 
[EL 又 件 突 2012/7/13 16%4.. 
轩 pecdoc 5000 ~ Mieroscf We 291217/27 15 | 
@0420138@-. 443 MB Witettav) 2012/7127100.. | 而 ] 5; 
命令 : > [Da123 11:06:35] UST 
慌 老 : > [mizp1z 96:39 正在 和 做 mm 才女， ] 
{2012/3/23 11:06:35] 150 hers comes the directory ll 
加 ha ee39] 2 prertry eend er - 
4 到 ， 
4 
< 庆 让 地 EE 和 
和 请 按 F1 192.168.127.132, 1 个 对 象 , 400 KB 
图 12-15 ”CuteFTP 的 主 界面 
socks4 和 5 这 接生 i Er | 
代理 服务 器 了 
白 安全 | 重 试 司 巴 时 间 〈 以 种 为 单位 )》O): 30 访 
OpenPGP 安全 连接 超时 《以 种 为 单位 》(O): EJ 
Re 用 于 匿名 好意 了 了 岂 件 地 址 MW): eer@anonymous con 
疡 合生 癸 连 接 后 显示 服务 嘻 的 欢迎 信息 (wh 
事件 辐 登 录 后 发 送 FEAT 命令 以 确定 功能 支持 人 
智能 材 盖 回 断 开 时 发 送 QUTT 命令 正常 断 开 ) (Q) 
ASCH 文件 中 | 回 允 许 使 用 UPnP 进行 端口 映射 所) 
Medez 加 分 本 PoRT 模式 了 P 地 址 和 端口 范围 R) 
重 命名 规则 = | 
时 人 
Toc 文 件 党 口 范 转自 8 至 5535 | 
0 总 5 
L _- 考 峭 i 
| CuteFIF Ci Ce Cone | 


图 12-16 在 CuteFTP 中 选择 数据 连接 的 建立 方 趟 
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在 图 12-16 中 ， 还 可 以 看 到 许多 其 他 有 关连 接 的 设置 。 
12.3 Vsftpd 的 安装 与 运行 


Vsftpd 也 称 为 Very Secure FTP Daemon, 是 一 种 遵循 GPL 协议 的 开放 源 代码 的 FTP 服 
务 器 软件 ， 具 有 安全 、 快 速 、 稳 定 的 特点 。 它 可 以 在 多 种 UNIX 系统 或 Linux 系统 下 运行 。 
下 面 介 绍 Vsftpd 的 有 关 情 况 ， 以 及 它 的 安装 与 运行 方法 。 


12.3.1 Vsftpd 服务 器 软件 简介 


FTP 服务 在 Internet 中 使 用 得 非常 广泛 ， 利 用 它 可 以 更 容易 地 分 享有 限 的 软件 资源 ， 
配置 FTP 服务 也 是 服务 器 建设 中 的 一 项 重要 的 服务 。Linux 下 具有 代表 性 的 FTP 服务 器 软 
件 是 Wu-FTP、ProFTP 及 Vsftpd， 其 中 ，RHEL 6 自 带 的 FTP 服务 器 软件 是 Vsftpd。 

Wu-FTP 〈Washington University FTP) 是 由 美国 华盛顿 大 学 开发 的 、 以 效率 和 稳定 性 
为 参考 量 的 FTP 软件 ， 它 的 功能 强大 ， 配 置 较 复杂 。 由 于 开发 时 间 较 早 ， 应 用 十 分 广泛 ， 
也 因此 成 为 黑客 们 主要 的 攻击 目标 。Wu-FTP 的 早期 各 级 版 本 不 断 出 现 安全 漏洞 ， 系 统管 
理 员 不 得 不 因 安 全 因素 而 经 常 对 其 进行 升级 。 

ProFTP 针对 Wu-FTP 的 弱项 而 开发 ， 除 了 在 安全 性 方面 进行 了 改进 外 , 还 具备 设置 简 
单 的 特点 , 并 提供 了 一 些 Wu-FTP 没有 的 功能 , 大 大 简化 了 架设 和 管理 FTP 服务 器 的 工作 。 

Vsftpd 在 安全 性 、 高 性 能 及 稳定 性 3 个 方面 有 上 佳 的 表现 。 它 提供 的 主要 功能 包括 虚 
拟 正 设置、 虚拟 用 户 、Standalone 、inetd 操作 模式 、 强 大 的 单 用 户 设置 能 力 及 带宽 限 流 等 。 
在 安全 方面 ， 它 从 原理 上 修补 了 大 多 数 Wu-FTP、ProFTP， 乃 至 BSD-FTP 的 安全 缺陷 ,使 
用 安全 编码 技术 解决 了 缓冲 溢出 问题 ， 并 能 有 效 避 免 globbing 类 型 的 拒绝 服务 攻击 。 


从 说明: 许多 著名 的 站 点 ， 如 Red Hat、SuSE、Debian、GNU、GNOME、KDE、Gimp 和 
OpenBSD 等 ， 都 使 用 了 Vsftpd 来 构建 官方 下 载 网 站 。 


12.3.2 ”Vsftpd 的 安装 


在 RedHat Enterprise Linux 6 下 安装 Vsftpd 服务 器 可 以 有 两 种 方式 ， 一 种 是 源 代码 方 
式 安装 ， 另 一 种 是 RPM 软件 包 方式 安装 。 源 代码 可 以 从 ftp://vsftpd.beasts.org/users/cevans/ 
处 下 载 ， 目 前 最 新 的 版 本 是 3.0.2 版 ， 文 件 名 是 vsftpd-3.0.2.tar.gz。RHEL 6 自 带 的 Vsftpd 
版 本 是 2.2.2 版 ， 文 件 名 是 vsftpd-2.2.2-11.el6.i686.rpm。 

先 看 一 下 RPM 方式 安装 。 如 果 安 装 RHEL 6 系统 的 时 候 没 有 选择 安装 
vsftpd-2.2.2-11.e16.i686 包 ， 需 要 从 安装 光盘 把 相应 文件 复制 到 当前 目录 以 后 ， 再 用 以 下 命 

# rpm -ivh vsftpd-2.2.2-11.e16.i686.rpm 


安装 成 功 后 ， 几 个 重要 的 文件 分 布 如 下 所 示 。 
口 /usr/sbin/vsftpd: Vsftpd 服务 器 的 进程 文件 ; 
口 /etc/vsftpd/vsftpd.conf: Vsftpd 服务 器 的 配置 文件 ; 
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口 /etc/pam.d/vsftpd: Vsftpd 服务 器 认证 本 地 用 户 的 PAM 接口 配置 文件 ; 

口 /usr/share/doc/vsftpd-2.2.2: 帮助 和 说 明文 档 存放 的 目录 ; 

口 /usr/share/man: 手册 页 文件 安装 目录 ; 

口 /varftp: Vsftpd 服务 器 匿名 用 户 的 工作 目录 。 

如 果 采 用 源 代码 方式 安装 ， 则 下 载 vsftpd-3.0.2.tar.gz 文件 到 当前 目录 后 ， 使 用 以 下 命 
令 进行 安装 。 


# rpm -e vsftpd-2.2.2-11.e16.i686.rpm // 如 果 安 装 了 2.2.2 包 , 则 先 拆除 


# tar -xvzf vsftpd-3.0.2.tar.gz // 解 压 源 代码 文件 包 , 到 vsftpd-3.0.2 目录 中 
# cd vsftpd-3.0.2 

# make // 主 要 的 结果 是 编译 产生 了 执行 文件 vsftpd, 放 在 当前 目录 下 

# make install // 把 vsftpd 文件 复制 到 /usr/sbin 和 /usr/local/sbin 目录 


//vsftpd.8 和 vsftpd.conf.5 复制 到 手册 页 目录 
与 RPM 安装 方式 相 比 ， 采 用 源 代码 方式 安装 后 ， 用 户 还 需要 额外 做 以 下 事情 。 
# cp ./vsftpd.conf /etc  //vsftpd.conf 是 vsftpd 的 配置 文件 , 默认 要 放 在 /etc 
// 才 能 被 vsftpd 命令 运行 时 读 取 


# mkdir /var/ftp // 要 手工 创建 匿名 用 户 的 个 人 目录 
# mkdir /var/ftp/pub 


12.3.3 ”Vsftpd 的 运行 与 简单 配置 
RPM 包 安 装 完成 后 ， 可 以 输入 以 下 命令 启动 vsftpd 进程 。 
# /usr/sbin/vsftpd 


上 述 命令 可 以 放 到 /ete/rec.local 文件 中 ， 则 开机 时 会 自动 运行 。 还 可 以 查看 一 下 进程 是 
和 否 启动 ， 输 入 以 下 命令 : 


# ps -eaflgrep vsftpd 


root 4832 L110 0905209 00:00:00 /usr/sbin/vsftpd 
/etc/vsftpd/vsftpd.conf 
root 4837 3062 0 09:53 pts/0 00:00:00 grep vsftpd 


可 以 看 到 ，vsftpd 进程 已 启动 。 再 输入 以 下 命令 : 


# netstat -tnl | grep :21 
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN 


可 以 看 到 , 21 号 端口 已 经 处 于 监听 状态 。 此 时 ， 可 以 用 以 下 过 程 测试 Vsftpd 服务 器 是 
E 常 工作 (这 里 需要 安装 fp RPM 包 才 可 以 执行 下 面 的 命令 )。 


OO // 与 本 机 的 FTP 服务 器 建立 连接 
Connected to 127.0.0.1. 

220 {vsFETPd 222) 

530 Please login with USER and PASS. 

530 Please login with USER and PASS. 

KERBEROS_ V4 rejected as an authentication type 


芯 
十 
己 


Name (127.0.0.1:root):anonymous // 匿 名 用 户 登录 
331 Please specify the password. 
Password: // 输 入 一 个 E-mail 地 址 作为 密码 


230 Login successful. 
Remote system type is UNIX. 
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Using binary mode to transfer files- 

ftp> 1s // 列 出 服务 器 端的 目录 
227 Entering Passive Mode (127,0,0,1,136,175) 

150 Here comes the directory listing. 


drwxr-xr-x 2 0 4096 Jan 17 2007 pub 
226 Directory send OK. 

ftp> bye // 退 出 

221 Goodbye. 


从 以 上 过 程 可 以 看 出 ，Vsftpd 已 经 处 于 正常 的 工作 状态 ， 其 功能 主要 由 配置 文件 
vsftpd.conf 决定 。 配 置 文件 以 “选项 名 = 值 ” 的 形式 对 某 一 选项 进行 配置 。 如 果 选 项 没有 进 
行 配置 ， 则 采用 其 默认 值 。“#” 是 行 注释 符 ， 其 后 面 的 符号 被 认为 是 注释 ， 实 际 工作 时 被 
忽略 。 

全 注意 : 在 配置 语句 “选项 名 = 值 ” 中 ，“=” 前 后 不 允许 有 空格 。 


在 RPM 包 安 装 完成 后 的 初始 状态 下 ， 实 际 起 作用 的 配置 和 解释 如 下 : 


anonymous enable=YES # 人 允许 匿名 用 户 登录 

local enable=YES # 允 许 本 地 用 户 登录 

write enable=YES # 人 允许 有 写 入 操作 的 FTP 控制 命令 ,如 STOR、DELE 等 
local umask=022 # 设 定 本 地 用 户 上 载 文件 的 umask 值 为 022 
dirmessage enable=YES # 用 户 首次 进入 一 个 新 目录 时 , 允许 得 到 欢迎 信息 
xfer1log_enable=YES # 人 允许 产生 日 志 

connect from port 20=YES # 使 用 20 号 端口 作为 建立 数据 连接 时 的 源 端 口 
xferl1og_std_format=YES # 日 志 采 用 标准 的 xferlog 格式 

listen=YES #vsftpd 在 操作 系统 中 运行 在 独立 模式 , 并 监听 IPv4 端口 
pam service name=vsftpd # 指 定 PAM 服务 配置 文件 的 名 字 , 在 /etc/pam.d 目录 
userlist enable=YES # 使 userlist file 选项 生效 ,定义 一 个 用 户 列表 
tcp_wrappers=YES # 连 接 请 求 转 由 TCP_Wrappers 完成 访问 控制 


当 进行 测试 时 ， 如 果 从 其 他 客户 机 连接 到 vsftpd， 并 且 Vsftpd 服务 器 配置 了 防火 墙 ， 则 
还 要 注意 防火 墙 应 该 要 开放 21 号 端口 ， 以 便 客户 机 的 连接 能 到 达 vsftpd。 同 时, 在 采用 主动 
方式 建立 数据 连接 时 ， 客 户 机 如 果 有 防火 墙 ， 也 要 注意 其 配置 ， 以 便 测试 能 顺利 地 进行 。 

当 vsftpd 运行 时 ， 还 需要 两 个 操作 系统 用 户 的 支持 ， 一 个 是 nobody， 它 的 作用 是 当 
vsftpd 进程 处 于 非特 权 状 态 时 ， 进 程 将 以 nobody 的 身份 运行 。 这 个 用 户 在 Linux 操作 系统 
中 一 般 已 经 默认 存在 ， 如 果 由 于 某 种 原因 不 存在 了 ， 要 重新 把 它 创建 起 来 。 当 然 ， 也 可 以 
通过 配置 选项 nopriv_user 指定 其 他 名 字 的 用 户 。 

还 有 一 个 用 户 是 名 为 ftp 的 用 户 。 当 vsftpd 允许 匿名 登录 时 ， 匿 名 用 户 要 和 操作 系统 
中 的 一 个 实际 用 户 相 对 应 ， 这 个 用 户 就 是 ftp 用 户 。 也 就 是 说 ，FTP 匿名 用 户 在 操作 系统 
中 所 拥有 的 权限 实际 上 就 是 ftp 用 户 拥 有 的 权限 。ftp 用 户 在 Linux 中 也 是 默认 存在 的 ， 如 
果 由 于 某 种 原因 不 存在 了 ， 也 要 重新 把 它 创建 起 来 。 

另外 ， 默 认 情 况 下 ，ftp 用 户 还 有 一 个 要 求 ， 就 是 它 的 个 人 工作 目录 必须 是 /var/ftp。 这 
样 ,匿名 用 户 登 录 到 vsftpd 后 , 它 开始 时 所 处 的 目录 就 是 /var/ftp 目录 .为 了 安全 起 见 , /var/ftp 
目录 的 所 有 者 最 好 改 为 root 用 户 ，ftp 用 户 对 它 只 有 读 的 权限 。 
采用 源码 安装 时 ， 其 配置 文件 vsftpd.conf 初始 配置 的 选项 只 有 4 个 。 


anonymous_enable=YES # 人 允许 匿名 用 户 登录 
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dirmessage enable=YES # 用 户 首次 进入 一 个 新 目录 时 ,允许 得 到 欢迎 信息 
xferlog enable=YES # 允 许 产 生日 志 
connect from port 20=YES # 使 用 20 号 端口 作为 建立 数据 连接 时 的 源 端口 


由 于 没有 listen=YES 选项 ， 这 样 的 配置 只 能 在 inetd 方式 下 运行 ， 如 果 以 独立 方式 运 
， 即 输入 以 下 命令 : 


# ./vsftpd & 


会 出 现 以 下 错误 提示 : 


500 OO0PS: vsftpd: not configured for standalone, must be started from inetd 


此 时 , 在 vsftpd.conf 文件 中 加 入 listen=YES， 当 再 次 运行 上 述 命 令 时 , 可 避免 这 种 情况 。 

由 于 源码 安装 方式 时 vsftpd.conf 文件 的 初始 内 容 与 RPM 方式 安装 时 有 所 不 同 ， 因 此 ， 
此 时 的 vsftpd 服务 所 提供 的 功能 和 RPM 安装 方式 相 比 会 有 所 区 别 。 例 如 ， 由 于 源码 安装 
方式 时 缺少 local enable=YES 及 pam_service_name=vsftpd 选项 ， 操 作 系 统 用 户 是 不 能 在 
vsftpd 中 登录 的 ， 这 点 可 以 在 下 面 的 测试 中 得 到 验证 。 

RE 

Connected to 127.0.0.1. 

2200 (voErpd 2 2 2) 

530 Please login with USER and PASS. 


530 Please login with USER and PASS. 
KERBEROS_V4 rejected as an authentication type 


~ 
ai 


Name (127.0.0.1:root): lintf // 输 入 操作 系统 用 户 1intf 登录 
530 This FTP server is anonymous only. 

Login failed. // 提 示 登 录 失败 

ftp> bye // 退 出 


221 Goodbye. 
# 


12.4 Vsftpd 高 级 配置 


Vsftpd 自 带 的 vsftpd.conf 文件 初始 内 容 比 较 简 单 ， 虽 然 可 以 让 vsftpd 运行 起 来 ， 也 能 
让 客户 端 连接 进来 ， 但 是 ， 这 样 的 配置 文件 用 在 实际 中 是 不 合适 的 。 因 为 在 实际 情况 下 ， 
用 户 的 需求 、 主 机 的 实际 情况 是 千差万别 的 ， 而且 服 务 器 一 旦 面向 Internet， 就 会 引 来 黑客 
的 攻击 。 因 此 ， 需 要 根据 实际 情况 ， 对 Vsftpd 进行 进一步 的 配置 ， 才 能 真正 地 投入 使 用 。 
下 面 介绍 一 些 常见 的 配置 选项 ， 以 及 为 了 某 种 目的 所 需要 配置 的 内 容 。 


12.4.1 初始 配置 文件 


以 RPM 方式 安装 完成 vsftpd 后， 会 提供 一 个 例子 vsftpd.conf 文件 ， 里 面 介 绍 了 一 些 
常见 的 vsftpd 配置 选项 。 为 了 使 读者 对 vsftpd.conf 配置 有 一 个 初步 的 了 解 ， 下 面 先 逐一 介 
绍 该 文件 中 列 出 的 配置 选项 ， 再 介绍 一 些 其 他 常用 的 配置 选项 。 去 掉 注释 后 的 例子 
vsftpd.conf 文件 内 容 如 下 : 


anonymous enable=YES 
local enable=YES 
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write enable=YES 

local umask=022 

#anon_ upload enable=YES 

#anon mkdir write enable=YES 
dirmessage _ enable=YES 

xferlog enable=YES 
connect from port 20=YES 

#chown uploads=YES 
#chown_username=whoever 

#xferlog file=/var/log/vsftpd.1og 
xferlog_std format=YES 

#idle_ session timeout=600 

#data_ connection timeout=120 

#nopriv_ user=ftpsecure 

#async abor enable=YES 

#ascii_upload enable=YES 

#ascii download enable=YES 

#ftpd banner=Welcome to blah FTP service. 
#deny email enable=YES 

#banned ， email . file=/etc/vsftpd/banned emails 
#chroot list enable=YES 

#chroot list file=/etc/vsftpd/chroot list 
#1s_recurse enable=YES 

listen=YES 

#1listen ipv6=YES 


anonymous_enable=YES 表示 允许 匿名 用 户 登录 FTP 服务 器 。 为 了 更 加 方便 用 户 的 使 
用 ， 面 向 大 量 用 户 的 FTP 服务 器 一 般 都 开放 了 匿名 服务 。 但 是 匿名 服务 的 提供 对 安全 造成 
了 很 大 的 威胁 ， 需 要 在 服务 器 软件 设计 、 操 作 系统 配置 和 FTP 服务 配置 方面 采取 很 多 的 措 
施 ， 才 能 保证 系统 的 安全 。 因 此 ， 对 于 用 户 数量 少 ， 账 号 容易 发 布 的 场合 ， 一 般 不 配置 匿 
名 服务 ， 可 以 把 该 选项 设 为 NO。 

local enable=YES 表示 人 允许 本 地 用 户 账号 登录 ， 本 地 账号 是 指 匿名 账号 以 外 的 用 户 账 

， 包 括 操作 系统 账号 和 虚拟 账号 。 但 是 ，local_enable 设 为 YES 后 ， 并 不 意味 着 本 地 用 
户 表 定 能 登录 ， 还 要 取决 于 PAM 和 虚拟 账号 等 方面 的 正确 配置 ， 本 地 用 户 才能 真正 登录 
成 功 。 

write_enable=YES 表示 服务 器 接收 与 写 有 关 的 控制 命令 , 包括 STOR、DELE、RNFR、 
RNTO、MKD、RMD、APPE 和 SITE 命令 。 需 要 注意 的 是 ，write_enable 设 为 YES 仅仅 是 
表示 vsftpd 接受 这 些 命令 ， 而 这 些 命令 能 不 能 成 功 执 行 ， 还 要 取决 于 其 他 配置 及 操作 系统 
的 权限 设置 。 

local_umask=022 表示 本 地 用 户 创建 新 的 文件 时 , 该 文件 初始 的 权限 值 。 值 022 是 一 个 
八进制 数 ， 与 UNIX 中 的 规定 一 样 ， 表 示 初 始 的 权限 值 是 创建 者 有 全 部 的 权限 ， 其 他 用 户 
只 有 读 和 执行 权限 。local umask 选项 的 默认 值 是 077, 表示 初始 权限 是 创建 者 有 全 部 权限 ， 
其 他 用 户 没有 权限 。 

anon_upload_enable=YES 表示 匿名 用 户 可 以 上 传 文件 。 当 然 ， 真 正 能 够 成 功 地 上 传 文 
件 ， 还 需要 配置 write_enable 为 YES， 以 及 匿名 用 户 对 应 的 本 地 用 户 〈 默 认为 fp) 对 相应 
目录 有 写 权 限 。 与 其 类 似 的 选项 还 有 anon mkdir write_ enable 和 anon_other write_enable， 
分 别 决定 匿名 用 户 是 否 可 以 在 服务 器 上 创建 目录 和 另外 的 命名 、 删 除 等 写 操作 。 这 些 选项 
对 系统 的 安全 会 带 来 很 大 的 风险 ， 一 般配 置 为 NO， 默认 值 也 都 是 NO。 

dirmessage_enable=YES 表示 用 户 第 一 次 进入 一 个 新 目录 时 ， 会 给 用 户 一 些 提 示 信 息 。 
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这 些 信 息 默 认 情 况 下 存放 在 该 目录 的 .message 文件 中 ， 但 可 以 通过 message_file 选项 进行 
更 改 。 

xferlog enable=YES、 xferlog file=/var/log/vsftpd.log 和 xferlog std_format=YES 是 一 组 
相关 的 配置 , 表示 启用 vsftpd 的 日 志 功 能 , vsftpd 日 志 的 文件 名 是 vsftpd.log, 存放 在 /var/log 
目录 下 ， 采 用 与 其 他 FTP 服务 器 兼容 的 格式 。vsftpd 的 日 志 详 细 记录 了 用 户 登录 、 上 传 、 
下 载 、 退 出 等 信息 ， 日 志 的 格式 由 xferlog _std_format 决定 ， 默 认 值 是 NO， 采 用 vsftpd 自 
定 的 可 读 性 更 好 的 格式 。 

connect from_port 20=YES 表示 当 FTP 服务 器 采用 主动 模式 与 客户 端 建立 数据 连接 
时 ， 是 否 固定 使 用 端口 20。 由 于 安全 原因 ， 有 些 客户 端 可 能 有 这 方面 的 要 求 。 但 是 ， 当 该 
选项 设 为 NO 时 ，vsftpd 进程 运行 时 可 以 使 用 1024 以 上 的 端口 ， 需 要 的 权限 可 以 稍微 小 一 
点 。 默 认 值 也 是 NO。 

chown_uploads=YES 和 chown_usemame=whoever 是 一 对 相关 的 配置 选项 ,表示 所 有 匿 
名 用 户 上 传 的 文件 其 所 有 者 将 变 为 whoever。 这 个 配置 一 般 是 为 了 安全 目的 ， 例 如 ， 文 件 
所 有 者 变 为 其 他 用 户 后 ， 匿 名 用 户 可 能 将 不 能 再 对 该 文件 进行 删除 ， 甚 至 读 操作 。 

idle_session_timeout=600 表示 控制 连接 的 超时 值 为 600 秒 ， 即 客户 端 不 输入 任何 与 服 
务 器 交互 的 命令 时 ， 经 过 600 秒 ， 控 制 连接 将 断 开 。 超 时 断 开 主要 是 为 了 减轻 服务 器 的 负 
担 ， 因 为 大 量 的 闲置 客户 端 会 占用 主机 和 网 络 资源 。 有 些 FTP 客户 端 即 使 在 闲置 时 ， 也 会 
定期 自动 向 服务 器 发 送 命令 ， 从 而 使 连接 不 会 断 开 。 

data_connection_timeout=120 表示 数据 连接 的 超时 值 是 120 秒 , 即 建立 数据 连接 后 , 如 
果 客 户 端 在 120 秒 后 还 没 响应 ， 将 会 自动 断 开 连 接 。 

nopriv_user=ftpsecure 表示 当 vsftpd 进程 处 于 非特 权 运 行 状态 时 , 所 使 用 的 用 户 身份 是 
ftpsecure。 为 了 使 系统 更 加 安全 ，vsftpd 有 时 会 处 于 非特 权 状 态 ， 此 时 需要 一 个 用 户 身份 来 
运行 vsftpd 进程 。 该 选项 的 默认 值 是 nobody， 但 由 于 很 多 其 他 的 UNIX 软件 也 经 常 要 以 
nobody 身份 运行 ， 因 此 ， 为 了 安全 等 原因 ， 最 好 指定 另 一 个 用 户 。 一 般 nobody 用 户 系统 
中 默认 已 创建 ， 如 果 指 定 其 他 用 户 ， 需 另外 再 创建 。 

async_abor_enable=YES 表示 vsftpd 支持 一 种 称 为 “async ABOR ”的 FTP 命令 。 由 于 
这 条 命令 会 影响 vsftpd 的 安全 ， 一 般 使 用 默认 的 NO 设置 。 但 有 少数 客户 端 可 能 会 使 用 这 
条 命令 ， 而 且 当 服务 器 不 支持 这 条 命令 时 ， 客 户 端 将 会 处 于 挂 起 状态 。 因 此 ， 为 了 照顾 这 
些 客户 端 ， 该 选项 设 为 了 YES 。 

ascii upload_enable=YES 和 ascii download_enable=YES 表示 上 传 下 载 文件 时 真正 允许 
ASCII 模式 。 有 些 FTP 服务 器 在 实现 ASCII 传输 模式 时 ， 容 易 遭 受 DoS 攻击 。 为 了 避免 这 
种 情况 的 发 生 ，vsftpd 给 客户 端 回应 时 可 以 假装 允许 ASCII 模式 ， 但 实际 上 使 用 的 是 二 进 
制 方式 ， 这 是 通过 把 上 述 两 个 选项 设 为 NO 来 达到 的 。 

ftpd_banner=Welcome to blah FTP service. 表 示 用 户 登录 时 ， 将 显示 “Welcome to blah 
FTP service.”， 没 有 这 个 选项 时 ， 将 显示 vsftpd 服务 器 的 名 称 和 版 本 信息 ， 这 样 做 的 目的 
是 为 了 隐藏 这 些 信息 。 因 为 这 些 信 息 给 黑客 提供 了 有 价值 的 线索 ， 使 攻击 更 加 方便 。 如 果 
需要 显示 更 多 的 信息 ， 还 可 以 把 这 些 信 息 放 在 一 个 文件 中 ， 再 通过 banner file 选项 指定 这 
个 交 件 。 

chroot list_enable=YES 和 chroot list file=/etc/vsftpd/chroot list 两 个 选项 指定 了 一 个 用 
户 列表 ， 这 个 用 户 列表 存放 在 /etc/vsftpd/chroot_ list 文件 中 。 当 chroot local user 选项 设 为 
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NO 时 ， 这 些 用 户 登 录 FTP 服务 器 后 ， 他 们 看 到 的 根 目录 是 他 们 自己 的 个 人 目录 。 也 就 是 
说 ， 虽 然 在 实际 的 文件 系统 中 ， 这 些 用 户 个 人 目录 的 上 级 还 有 目录 ， 但 这 些 用 户 是 不 能 切 
换 到 这 些 上 级 目录 的 。 


全 说 明 : 这 样 做 的 目的 是 为 了 安全 ， 因 为 有 时 候 不 希望 随便 让 无 关 的 用 户 看 到 主机 文件 系 
统 中 的 其 他 文件 。 


当 chroot local_user 选项 设 为 YES 时 ， 情 况 正 好 相反 ， 上 述 两 个 选项 指定 的 用 户 列 表 
将 不 会 被 限制 在 个 人 目录 中 ， 而 是 可 以 转 到 上 级 目录 ， 也 可 以 进一步 转 到 其 他 目录 。 不 在 
这 个 用 户 列 表 中 的 用 户 将 会 被 限制 在 个 人 目录 中 。 
ls_recurse_enable=YES 表示 客户 端 在 使 用 ls 命令 时 可 以 加 -R 参数 。-R 参数 表示 ls 命 
令 可 以 列 出 整个 目录 树 中 的 内 容 。 当 目录 层次 比较 多 的 时 候 ， 将 需要 大 量 的 处 理 时 间 ， 特 
别 存在 恶意 用 户 时 ， 情 况 会 更 严重 。 因 此 ，vsftpd 默认 是 不 允许 这 个 选项 的 。 但 有 些 客户 
端 使 用 ls 命令 时 默认 带 有 该 参数 ， 因 此 ， 有 时 还 需要 启用 该 选项 。 

listen=YES 和 listen_ ipv6=YES 表示 vsftpd 将 以 独立 的 方式 运行 ， 前 者 监听 IPv4 网 络 
接口 ， 后 者 监听 IPv6 网 络 接口 ， 但 两 者 不 能 同时 在 一 个 配置 文件 中 设置 。vsftpd 的 另 一 种 
运行 方式 是 inetd 方式 ， 它 可 以 对 网 络 方面 的 安全 有 更 多 的 控制 。 

以 上 介绍 了 例子 vsftpd.conf 文件 中 提供 的 各 种 选项 ， 熟 悉 了 这 些 选 项 后 ， 基 本 上 可 以 
配置 一 个 实用 的 FTP 服务 器 了 。 但 如 果 FTP 服务 器 要 面 对 大 量 用 户 时 , 速度 和 连接 数 方面 
的 限制 还 是 必 不 可 少 的 ， 否 则 ， 很 容易 会 造成 网 络 或 主机 的 次 痰 。vsftpd 主要 有 
anon_max_rate、local_ max_rate、max_clients 和 max_per_ip 4 个 选项 可 以 做 这 方面 的 限制 。 

anon_max_rate 选项 用 于 设置 匿名 用 户 客户 端 能 够 达到 的 最 大 速率 ， 其 值 是 一 个 数值 ， 
单位 是 b/s。 如 果 设 置 为 0， 则 表示 速率 无 限制 。 默认 情况 下 是 无 限制 的 , 但 在 实际 情况 下 ， 
要 根据 网 络 和 主机 的 情况 做 出 限制 。 local_max_rate 选项 限制 的 是 本 地 用 户 的 速率 , 其 余 情 
况 与 anon_max_rate 一 样 。 

max_clients 选项 限制 vsftpd 能 接受 的 最 大 客户 端 连接 数 ，max_per_ip 选项 限制 每 一 台 
主机 可 以 连 入 的 客户 端 数 。 这 两 个 选项 默认 值 都 是 0， 表 示 没 有 限制 。 当 实际 要 工作 时 ， 
需要 根据 具体 情况 加 以 设置 。 和 否则， 用 户 为 了 加 快 下 载 速度 ， 可 能 会 打开 很 多 的 客户 端 连 
接 ， 从 而 影响 其 他 用 户 的 正常 使 用 。 更 严重 的 是 ， 会 很 容易 遭受 DoS 攻击 。 


12.4.2 ”匿名 用 户 配置 


支持 匿名 账号 可 以 大 大 方便 用 户 使 用 FTP， 在 账号 分 发 有 困难 的 情况 下， 支持 匿名 账 
号 更 是 必 不 可 少 。 但 是 支持 匿名 账号 也 会 带 来 很 多 的 安全 问题 ， 如 果 配 置 不 当 ， 很 容易 会 
漏 泄 主机 的 很 多 信息 ， 甚 至 直接 受到 攻击 。 因 此 ，vsftpd 提供 了 很 多 与 匿名 账号 有 关 的 配 
置 ， 用 于 管理 匿名 用 户 的 安全 。 下 面 通 过 一 个 例子 熟悉 有 关 匿 名 账号 的 配置 。 现 假设 : 

口 vsftpd.conf 的 初始 内 容 与 12.4.1 节 所 示 的 例子 vsftpd.conf 一 样 。 

口 用 户 地 是 匿名 用 户 对 应 的 本 地 用 户 ， 其 主 目录 在 /var/ftp。 

口 /var/ftp 目录 下 有 一 个 pub 子 目录 。 

并 希望 达到 以 下 配置 目标 : 
口 支持 匿名 用 户 登 录 。 
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只 要 f 用 户 在 操作 系统 中 有 读 权 限 ， 就 可 以 下 载 文件 。 

匿名 用 户 登录 后 进入 /var/ftp/pub 目录 ， 可 以 下 载 该 目录 中 的 文件 。 

可 以 把 文件 上 传 到 /var/ftp/pub/upload 目录 中 ， 但 不 能 下 载 或 删除 该 目录 中 的 文件 。 
匿名 用 户 登 录 如 果 输 入 aaa@ 做 为 登录 密码 ， 将 被 拒绝 。 主 要 目的 是 为 了 防止 一 些 
自动 登录 的 攻击 工具 进行 登录 。 


为 了 达到 上 述 配 置 目标 ， 可 以 按 以 下 步骤 进行 配置 。 


(1) 在 配置 文件 中 加 入 以 下 内 容 ， 


anonymous_enable=YES 

(2) 在 配置 文件 中 加 入 以 下 内 容 ， 
anon_ world readable only=NO 
(3) 在 配置 文件 中 加 入 以 下 内 容 ， 
anon_root=/var/ftp/pub 


(4) 在 配置 文件 中 加 入 以 下 内 容 ， 
是 root。 


anon_upload enable=YES 
chown_ uploads=YES 


(5) 在 操作 系统 中 输入 以 下 命令 。 
# mkdir /var/ftp/pub/upload 


实现 目标 1。 


实现 目标 2。 


实现 目标 3。 


使 匿名 用 户 可 以 上 传 文件 ， 并 且 这 些 文件 的 所 有 者 


# chown ftp /var/ftp/pub/upload 


(6) 在 配置 文件 中 加 入 以 下 内 容 。 


deny_email enable=YES 


banned email file=/etc/vsftpd/banned email 


(7) 建立 /etc/vsftpd/banned_email， 


aaa@ 


(8) 重启 vsftpd 进程 。 


# killall -HUP vsftpd 


输入 以 下 内 容 。 


以 上 步骤 完成 后 ， 可 以 按 以 下 方法 进行 测试 。 


[root@radius pub]# 1s -1 /var/ftp/pub // 首 先 telnet 到 主机 ， 看 一 下 
/var/ftp/pub 目录 下 的 内 容 

总 用 量 336 

-IrW----r-— Eo root 309%29 有 70043 maiinee 

—rW-r--r-— 1 root root 884 11 月 7 00:43 my.txt 

—rWw-r--r-— Jo root 324608 11 月 7 00:44 nasmw.exe 

drwxr-xr-x ep root 4096 11 月 10 21:30 upload 

C:\ >ftp 10.10.1.253 // 通 过 FTP 连接 到 主机 

connected to 10.10.1.253。 

220 (vaPTPd .1:3) 

User (10.10.1.253: (none)): anonymous // 用 匿名 用 户 登 录 
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331 Please specify the password. 
Password: 

530 Login incorrect. 

Login failed. 

ftp> user anonymous 

331 Please specify the password. 
Password: 

230 Login successful. Have fun. 
ftp> 1s -1 
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// 此 处 输入 密码 aaa@ 


// 登 录 失败 
// 再 用 匿名 用 户 登录 


// 此 处 输入 除 aaa@ 以 外 的 任意 字符 串 

// 登 录 成 功 

// 列 出 目录 , 可 以 发 现 与 前 面 列 出 的 /var/ 
ftp/pub 目录 中 的 内 容 一 样 


200 PORT command successful. Consider using PASV. 


150 Here comes the directory listing. 

309 Nov 06 16:43 main.c 
884 Nov 06 16:43 my.txt 
324608 Nov 06 16:44 nasmw.exe 
4096 Nov 10 13:30 upload 


= 二 /人 0 
一 于 大 二 二 二 一 天 二 二 Li 0 
4 0 0 
drwxr-xr-x 214 0 


226 Directory send OK. 


ftp: 收 到 259 字 节 ， 用 时 0.02Seconds 16.19Kbytes/sec. 


ftp> pwd 
0 


ftp> get main.c 


// 看 一 下 当前 目录 

// 提 示 是 根 目 录 , 实际 上 在 主机 中 的 位 置 是 
/var/ftp/pub 

// 下 载 main.c 文件 


200 PORT command successful. Consider using PASV. 
150 Opening BINARY mode data connection for main.c (309 bytes). 


226 File send OK. 


// 虽 然 main.c 不 是 所 有 用 户 都 可 读 , 但 也 可 以 下 载 


ftp: 收 到 309 字 节 ,用 时 0.00Seconds 309000.00Kbytes/sec. 


ftp> cd upload 


250 Directory successfully changed . 
ftp> 1s -1 // 查 看 


// 进 入 upload 


-下 upload 目录 中 的 内 容 , 是 一 个 空 目 录 


200 PORT command successful. Consider using PASV. 


150 Here comes the directory listing. 


226 Directory send OK. 
ftp> put main.c 


// 把 main.c 文件 上 传 


200 PORT command successful. Consider using PASV. 


150 Ok to send data. 
226 File receive OK. 


// 上 传 成 功 


ftp: 发 送 309 字 节 ， 用 时 0.00Seconds 309000.00Kbytes/sec. 


Ep dare 


// 查 看 一 下 结果 , 发 现存 在 main.c 文件 


200 PORT command successful. Consider using PASV. 


150 Here comes the directory listing. 
309 Nov 10 13:43 main.c 


= 10 50 


226 Directory send OK. 


// 权 限 值 由 anon_umask 默认 值 077 决定 


ftp: 收 到 64 字 节 ， 用 时 0.00Seconds 64000.00Kbytes/sec. 


ftp> get main.c 


// 试 图 下 载 main.c 


200 PORT command successful. Consider using PASV. 


550 Failed to open file. 
ftp> rm main.c 

550 Permission denied. 
ftp> 


12.4.3 Vsftpd 虚拟 主机 的 配置 


// 不 能 下 载 
// 试 图 删除 main.c 
// 不 能 删除 


Vsftpd 的 虚拟 主机 是 指 在 一 台 主机 上 配置 多 个 vsftpd 服务 ， 各 个 vsftpd 服务 可 以 采用 


不 同 的 配置 ， 给 用 户 的 感觉 好 像 这 些 vsftpd 服务 是 不 同 的 主机 上 运行 的 。Vsftpd 的 虚拟 主 
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机 是 基于 IP 地 址 的 ， 即 不 同 的 vsftpd 服务 绑 定 在 不 同 的 人 P 地 址 上 , 这 点 与 Apache 
中 的 虚拟 主机 不 一 样 。 


服务 器 


如 果 主 机 上 有 多 块 网 卡 ， 典 型 情况 是 内 网 连 一 块 网 卡 ， 外 网 也 连 一 块 网 卡 ， 两 块 网 卡 


各 有 一 个 IP 地 址 。 此 时 ， 两 个 网 卡 上 可 以 运行 不 同 配置 的 vsftpd 服务 。 例 如 ， 内 网 


网 卡 上 


的 vsftpd 服务 对 用 户 的 限制 可 以 少 一 点 ， 外 网 网 卡 上 的 vsftpd 服务 对 用 户 的 限制 可 以 多 一 


点 。 但 两 个 服务 可 以 共享 主机 的 文件 系统 ， 使 用 起 来 可 以 非常 灵活 。 


还 有 一 种 情况 是 不 增加 网 卡 ， 但 在 原 有 网 卡 的 基础 上 配置 子 接口 ， 得 到 则 辑 网 


卡 ， 不 


同 的 逻辑 网 卡 设置 不 同 的 瑟 地 址 。 这 样 在 形式 上 也 可 以 认为 有 多 块 网 卡 , 不 同 的 逻辑 网 卡 


上 运行 不 同 配 置 的 vsftpd 服务 。 
各 注意 : 各 块 到 辑 网 卡 的 IP 地 址 必须 要 在 同一 个 网 段 。 


下 面 介 绍 一 下 采用 逻辑 网 卡 实现 的 虚拟 主机 配置 。 现 假设 : 

口 主机 上 有 一 块 网 卡 ，IP 地 址 为 10.10.1.253。 

口 主机 上 已 配置 运行 了 12.4.2 节 所 示 的 vsftpd 服务 。 

如 果 想 实现 以 下 目标 : 

口 不 影响 10.10.1.253 上 原 有 vsftpd 服务 的 功能 。 

口 再 增加 一 块 风 辑 网 卡 ，IP 地 址 为 10.10.1.251。 

口 在 10.10.1.251 地 址 上 再 运行 一 个 vsftpd 服务 。 

口 第 二 个 vsftpd 服务 的 其 他 配置 参照 12.4.1 节 的 例子 vsftpd.conf。 
则 可 以 按 以 下 步骤 完成 : 

(1) 以 root 用 户 身份 执行 以 下 命令 。 

# ifconfig eth0:1 10.10.1.251 netmask 255.255.255.0 up 


(2) 停止 vsftpd 服务 。 
# killall vsftpd 


(3) 在 /etc/vsftpd/vsftpd.conf 中 增加 以 下 配置 。 

listen address=10.10.1.253 

(4) 重新 启动 vsftpd 服务 。 

/usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf & 

(5) 为 第 二 个 vsftpd 服务 器 建立 匿名 用 户 对 应 的 本 地 账号 及 个 人 目录 。 
# useradd -d /var/myftp -s /sbin/nologin myftp 

(6) 改变 /var/myftp 的 所 有 者 ， 目 的 是 使 myftp 用 户 对 其 没有 写 权 限 。 


# chown root /var/myftp 


(7) 复制 一 份 12.4.1 的 例子 vsftpd.conf， 命 名 为 /etc/vsftpd/myvsftpd.conf。 
(8) 编辑 myvsftpd.conf， 加 入 以 下 配置 : 


ftpd banner=Welcome to my virtual ftp server 
ftp_username=myftp 
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listen=YES 
listen address=10.10.1.251 


(9) 启动 第 二 个 vsftpd: 
# /usr/sbin/vsftpd /etc/vsftpd/myvsftpd.conf 


以 上 步骤 完成 后 ， 可 按 以 下 方法 进行 测试 。 


GeN>2tp TOLOML253 // 先 连接 到 10.10.1.253 
Connected to 10.10.1.253. 
220 (vsFTPd 2.2.2) // 出 现 的 是 默认 提示 


User (10.10.1.253: (none) ) : anonymous  ”// 匿 名 用 户 登 录 
331 Please specify the password. 


Password: // 除 aaa@ 以 外 的 字符 串 
230 Login successful. Have fun. 
ftp> Le 上 // 看 一 下 内 容 


200 PORT command successful. Consider using PASV. 

150 Here comes the directory listing. 

Ee 二 0 309 Nov 06 16:43 main.c 

0 884 Nov 06 16:43 my.txt 
Be fd et Ee 0 324608 Nov 06 16:44 nasmw.exe 
drwxr-xr-x 2 14 0 4096 Nov 10 13:43 upload 
226 Directory send OK. 

ftp: 收 到 259 字 节 ， 用 时 0.00Seconds 259000.00Kbytes/sec. 


ftp> close // 关 闭 与 10.10.1.253 的 连接 
221 Goodbye. 
ftp> open 10.10.1.251 // 打 开 与 10.10.1.251 的 连接 


Connected to 10.10.1.251. 

220 Welcome to my virtual ftp server  // 出 现 了 自己 设 定 的 提示 ,表明 是 不 同 的 服 
// 务 器 

User (10.10.1.251: (none)): anonymous  // 匿 名 用 户 登录 

331 Please specify the password. 


Password: 
230 Login successful. Have fun. 
ftp> 1s -1 // 查看 一 下 内 容 , 与 上 一 次 不 一 样 , 进一步 表明 是 不 同 的 服务 器 


200 PORT command successful. Consider using PASV. 

150 Here comes the directory listing. 

226 Directory send OK. 

ftp> 

以 上 测试 表明 ， 虽 然 10.10.1.251 和 10.10.1.253 两 个 IP 地 址 实际 上 是 在 同一 台 计算 机 
上 ， 但 是 ， 就 使 用 vsftpd 服务 而 言 ， 给 人 的 感觉 好 像 是 在 两 台 计 算 机 上 ， 因 为 两 者 看 起 来 
好 像 是 完全 独立 的 。 


12.4.4 ”虚拟 用 户 的 配置 


Vsftpd 中 的 用 户 有 3 种 形式 。 第 一 种 是 匿名 用 户 ， 登 录 时 可 以 使 用 任意 一 个 E-mail 地 
址 作为 密码 ， 其 权限 对 应 操作 系统 中 名 为 ftp 的 用 户 。 第 二 种 是 本 地 用 户 ， 也 就 是 操作 系 
统 中 建立 的 用 户 ， 用 户 名 和 密码 存放 在 /etc/passwd 文件 中 ， 它 们 可 以 通过 控制 台 或 telnet 
登录 操作 系统 ， 也 可 以 作为 FTP 用 户 登录 到 Vsftpd 中 。 还 有 一 种 叫 虚拟 用 户 , 它们 的 用 户 
名 和 文件 存放 在 特定 的 数据 文件 中 ， 只 在 Vsftpd 中 有 效 ， 一 般 情况 下 是 不 能 在 其 他 系统 中 
登录 的 。 

采用 虚拟 用 户 的 优点 是 很 明显 的 。 首 先 ， 它 对 操作 系统 的 安全 有 好 处 ，FTP 用 户 账 号 


ss 


的 
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此 漏 不 会 对 操作 系统 的 安全 造成 任何 影响 。 其 次 ， 在 需要 大 量 FTP 用 户 账号 的 情况 下 ， 


不 需要 在 操作 系统 中 建立 用 户 ， 减 轻 了 操作 系统 的 管理 负担 。 还 有 ， 虚 拟 用 户 的 账号 的 权 
限 设置 更 加 方便 ， 存 储 位 置 也 可 以 灵活 多 样 ， 便 于 与 其 他 系统 的 集成 。 


PAM (Plugable Aauthentication Module， 可 插 拔 认证 模块 ) 是 一 种 完成 通用 认证 功能 


的 程序 。 它 可 以 被 其 他 程序 调用 ， 是 vsftpd 支持 的 一 种 认证 方式 。 当 使 用 PAM 时 ， 程 序 
不 需要 重新 编译 ， 只 需要 通过 编辑 一 个 配置 文件 来 决定 认证 模块 如 何 插入 到 程序 之 中 。 下 
面 以 PAM 认证 为 例 ， 介 绍 vsftpd 虚拟 用 户 的 配置 方法 。 假 设 : 


口 vsftpd.conf 的 初始 内 容 与 12.4.1 节 所 示 的 例子 vsftpd.conf 一 样 。 

口 在 例子 vsftpd.conf 情况 下 ， 操 作 系统 环境 已 经 使 vsftpd 能 运行 ， 并 正常 地 提供 
服务 。 

现 希望 达到 以 下 配置 目标 : 

口 建立 三 个 虚拟 用 户 usrl 、usr2 和 usr3， 密 码 分 别 是 pass1、pass2 和 pass3 。 

口 用 户 usrl 的 主 目录 为 dirl1， 只 有 读 权 限 。 

口 用 户 usr2 的 主 目录 为 dir2， 只 有 读 权 限 。 

口 用 户 usr3 的 主 目录 为 dir2， 拥 有 所 有 权限 。 

所 需 的 步骤 如 下 所 示 。 

(1) 创建 文件 ftpusr.txt， 里 面包 括 要 创建 的 虚拟 账号 ， 格 式 和 内 容 如 下 : 

usrl 

Passl 

usr2 

Pass2 


usr3 
pass3 


(2) 生成 虚拟 账户 数据 库 。 
确保 DB 库 及 工具 包 已 安装 。 可 输入 以 下 命令 查看 : 


# rpm -qalgrep db4 
db4-4.7.25-17.e16.i686 
db4-cxx-4.7.25-17.e16.i686 
db4-devel-4.7.25-17.e16.i686 
db4-utils-4.7.25-17.e16.i686 
# 


以 上 的 显示 表明 4 个 db4 包 已 正确 安装 ,然后 通过 以 下 命令 在 /etc/vsftpd 目录 下 生成 账 


户 数 据 库 文件 ftpusr.db， 并 设置 访问 权限 为 600。 


ab load | =T =t bash =f /ftpusr. txt /etc/vaftpd/ftpusr. db 
# chmod 600 /etc/vsftpd/ftpusr.db 


(3) 新 建 /etc/pam.d/vsftpd_login 文件 ， 输 入 以 下 内 容 : 


auth required /lib/security/pam userdb.so db=/etc/vsftpd/ftpusr 
account required /lib/security/pam userdb.so db=/etc/vsftpd/ftpusr 


所 有 支持 PAM 的 程序 都 有 一 个 与 PAM 进行 对 接 的 配置 文件 ， 它 们 存放 在 /etc/pam.d 


目录 ，vsftpd 与 PAM 的 对 接 配置 文件 名 可 以 由 vsftpd.conf 文件 中 的 pam_service_name 选 
项 确定 ， 默 认 的 文件 名 是 ftp。 
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会 说明: 当 vsftpd 认证 本 地 用 户 时 ,实际 上 也 是 通过 PAM 方式 进行 的 。 当 使 用 RPM 安装 
方式 时 ， 会 把 一 个 名 为 vsftpd 的 文件 复制 到 /etc/pam.d 目录 ， 然 后 在 vsftpd.conf 
文件 中 加 入 选项 pam_service name=vsftpd， 当 以 后 认证 本 地 用 户 时 ， 会 根据 /etc/ 
pam.d/vsftpd 文件 的 配置 内 容 进 行 认证 。 


PAM 定义 了 4 种 类 型 的 模块 ， 其 中 auth 模块 提供 了 实际 的 认证 过 程 ， 可 能 是 提示 口 
令 输 入 并 检查 输入 的 口令 ， 设 置 保密 字 或 KERBEROS 通行 证 。account 模块 负责 检查 并 确 
认 是 否 可 以 进行 认证 , 例如 ,账户 是 否 到 期 ,用户 此 时 此 刻 是 否 可 以 登录 等 。 因此 , vsftpd_ 
login 文件 中 的 两 行内 容 表示 调用 /lib/security/pam_userdb.so 模块 并 根据 /etc/vsftpd/ftpusr 进 
行 认 证 。 

C4) 建立 所 有 FTP 虚拟 用 户 账号 使 用 的 操作 系统 账号 , 并 设置 该 账号 工作 目录 的 权限 。 

# useradd -d /home/ftpsite -s /sbin/nologin ftp virt 

# chmod 700 /home/ftpsite 

“-s /sbin/nologin” 参 数 表 示 ftp_virt 用 户 永 远 不 能 在 操作 系统 中 登录 。 

(5) 在 12.4.1 节 所 示 的 例子 vsftpd.conf 中 添加 以 下 有 关 虚 拟 用 户 的 配置 内 容 。 

guest enable=YES 

guest username=ftp virt 

pam service name=vsftpd login 

此 时 如 果 重 启 vsftpd 进程 ， 使 虚拟 用 户 配置 生效 ， 则 刚才 3 个 在 ftpusr.txt 中 输入 的 用 
户 账号 将 可 以 在 vsftpd 中 登录 。 此 时 操作 系统 用 户 将 不 能 在 vsftpd 中 登录 ， 但 匿名 用 户 还 
是 可 以 登录 的 。 下 面 再 看 一 下 这 些 虚 拟 用 户 账号 对 操作 系统 中 各 种 文件 和 目录 的 操作 权限 
如 何 设置 。 

(6) 设置 虚拟 用 户 的 权限 。 

操作 系统 本 身 有 一 套 控制 用 户 权 限 的 机 制 。 当 vsftpd 采用 本 地 用 户 登录 时 ， 本 地 用 户 
对 文件 的 权限 是 由 操作 系统 规定 的 。 如 果 要 求 所 有 的 虚拟 用 户 对 操作 系统 文件 的 权限 是 一 
样 的 ,可 以 在 vsftpd.conf 中 使 用 virtual_use_local_privs=YES 配置 。 其 功能 是 使 虚拟 用 户 的 
权限 与 操作 系统 中 所 对 应 的 用 户 〈 例 子 中 的 ftp_virt) 的 权限 一 样 ， 这 样 就 可 以 通过 设置 本 
地 用 户 权 限 来 决定 虚拟 用 户 的 权限 。 

但 如 果 要 求 每 个 虚拟 用 户 具 有 不 同 的 权限 ， 使 用 上 面 的 方法 就 不 行 了 。 为 了 解决 这 个 
问题 ，vsftpd 可 以 为 每 个 虚拟 用 户 设置 自己 的 配置 文件 ， 其 文件 名 和 用 户 名 相同 ， 这 些 配 
置 文件 要 统一 放 在 一 个 目录 下 ， 目 录 的 位 置 由 user_config_ dir 选项 指定 。 由 于 不 同 的 用 户 
可 以 在 自己 的 配置 文件 中 设置 不 同 的 内 容 ， 因 此 ，vsftpd 就 可 以 为 虚拟 用 户 指定 不 同 的 权 
限 了 。 下 面 看 一 下 具体 的 做 法 。 

首先 在 vsftpd.conf 中 加 入 一 行 ， 指 定 放置 用 户 配 置 文件 的 目录 位 置 是 /etc/vsftpd。 


User_config_dir=/etc/vsftpd 
然后 在 /var/ftp 下 创建 两 个 目录 。 


# mkdir /var/ftp/dirl 
# mkdir /var/ftp/dir2 
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为 了 使 fp_virt 对 这 两 个 目录 有 完全 的 权限 ， 再 执行 下 面 命令 : 


# chown ftp virt /var/ftp/dirl 
# chown ftp virt /var/ftp/dir2 


最 后 ,在 /etc/vsftpd 目录 中 建立 3 个 文件 ,其 文件 名 分 别 是 3 个 虚拟 账号 的 用 户 名 usrl、 
usr2 和 usr3， 内 容 分 别 如 下 : 


# vi /etc/vsftpd/usrl 

local root=/var/ftp/dirl 

# vi /etc/vsftpd/usr2 

local root=/var/ftp/dir2 

# vi /etc/vsftpd/usr3 

local root=/var/ftp/dir2 
anon _ mkdir write enable=YES 
anon other write enable=YES 
anon_upload enable=YES 

anon world readable only=YES 
write _ enable=YES 


local_root 选项 指定 用 户 登录 后 起 始 的 工作 目录 位 置 。usrl 和 usr2 用 户 在 自己 的 配置 
文件 中 没有 指定 权限 ， 则 其 权限 默认 和 匿名 用 户 一 样 。 在 本 例 的 vsftpd.conf 配置 中 ， 匿 名 
用 户 的 权限 配置 成 只 能 读 , 于 是 , usrl 和 usr2 用 户 对 自己 的 工作 目录 也 只 有 读 的 权限 。usr3 
在 自己 的 配置 文件 增加 了 几 条 可 以 写 的 配置 。 因 此 ， 这 些 配置 覆盖 了 vsftpd.conf 文件 中 的 
默认 配置 ， 对 dir2 目录 就 有 了 写 的 权限 。 

以 上 步骤 完成 后 ， 可 以 通过 以 下 方法 进行 测试 : 

内 DTL27ID 0 

Connected to 127.0.0.1. 

220(wsETPOE222) 

530 Please login with USER and PRSS . 


530 Please login with USER and PRSS . 
KERBEROS V4 rejected as an authentication type 


Name (127.0.0.1:root): usr3 // 首 先 用 usr3 用 户 登录 
331 Please specify the password. 

Password: // 输 入 密码 pass3 

230 Login successful. // 提 示 登 录 成 功 


Remote system type is UNIX. 
Using binary mode to transfer files. 


ftp> mkdir create by usr3 // 创 建 一 个 目录 create_by_usr3 
257 "/create by usr3" created // 提 示 创 建成 功 
£Ep> ‘Ls // 检 验 一 下 


227 Entering Passive Mode (10,10,1,29,67,7) 
150 Here comes the directory listing. 


bs 2 0 501 4096 Nov 09 12:37 create by usr3 

226 Directory send OK. 

ftp> close // 由 于 不 能 用 USER 命令 改变 用 户 , 先 关闭 连接 
221 Goodbye. 

ftp> open 127.0.0.1 // 再 重新 打开 

Name (127.0.0.1:root): usr2 // 用 usr2 登录 

331 Please specify the Password. 

Password: // 输 入 密码 pass2 

230 Login successful. // 提 示 登 录 成 功 


Remote system type is UNIX. 
Using binary mode to transfer files. 
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ftp> 1s // 看 一 下 工作 目录 

227 Entering Passive Mode (10,10,1,29,43,239) 

150 Here comes the directory listing. 

drWX====== 2 501 501 4096 Nov 09 12:37 create by usr3 
// 看 到 了 刚才 usr3 用 户 所 建 的 目录 ,说 明 usr2 和 usr3 的 工作 目录 是 同一 个 


226 Directory send OK. 


ftp> rmdir create by usr3 // 试 图 删除 create by usr3 目录 
550 Permission denied. // 删 除 不 了 

ftp> close 

221 Goodbye. // 关 闭 连接 

ftp> open 127.0.0.1 // 重 新 打开 

Name (127.0.0.1:root) : usrl // 用 usrl 登录 

331 Please specify the password. 

Password: // 输 入 密码 pass1 

230 Login successful. // 提 示 登 录 成 功 


Remote System type is UNIX. 
Using binary mode to transfer files. 
ftp> 1s // 看 一 下 个 人 目录 
227 Entering Passive Mode (10,10,1,29,231,249) 
150 Here comes the directory listing. 
// 没 有 看 到 create by usr3 目录 ,表明 usrl 和 usr2、usr3 的 工作 目录 不 同 
226 Directory send OK. 


ftp> mkdir abc // 试 图 创建 一 个 目录 
550 Permission denied. // 创 建 不 了 

ftp> bye // 测 试 结束 ， 退 出 
221 Goodbye. 


可 以 看 到 ， 配 置 目标 已 经 达到 。 
12.4.5 ”Vsftpd 的 日 志 


日 志 是 vsftpd 服务 运行 时 各 种 工作 状态 的 记录 ， 如 用 户 登 录 、 下 载 文件 、 创 建 目录 等 
操作 ， 均 可 以 被 日 志 记录 下 来 。 有 了 上 日志， 管理 员 可 以 及 时 了 解 服务 器 运行 过 程 中 出 现 的 
问题 ， 并 在 解决 问题 的 调试 过 程 中 得 到 各 种 信息 。 
Vsftpd 有 关 日 志 配置 的 选项 有 很 多 。 其 中 当 xferlog_enable 选项 设 为 YES 时 ， 就 启用 
日 志 功能 。 此 时 ， 日 志 默 认 被 记录 在 /varlog 目录 的 vsftpd.log 文件 中 ， 但 这 个 文件 的 位 
置 和 名 称 可 以 通过 设置 选项 vsftpd_log_file 加 以 改变 。vsftpd.log 中 的 日 志 格式 是 vsftpd 自 
己 定义 的 ， 具 有 良好 的 可 读 性 。 
如 果 在 配置 文件 中 把 xferlog_std_format 选项 设 为 YES， 则 可 以 输出 另外 一 种 称 为 
xferlog 格式 的 日 志 。 这 种 格式 是 与 wu-FTP 服务 器 兼容 的 ， 可 读 性 比较 差 ， 但 更 容易 被 工 
有 具 分 析 。xferlog 日 志 默 认 记 录 在 /varlog 目录 的 xferlog 文件 中 ， 它 的 位 置 和 名 称 也 可 以 通 
过 设置 xferlog file 选项 加 以 改变 。 
默认 情况 下 ，vsftpd 只 记录 自 定义 格式 的 日 志 。 如 果 希 望 同 时 还 记录 xferlog 格式 的 日 
志 ， 则 需要 把 dual log_enable 设 为 YES。 此 时 ， 两 种 格式 的 日 志 会 同时 被 记录 ， 存 到 相应 
的 日 志文 件 中 。 


名 注意 : 单个 日 志文 件 的 大 小 或 记录 时 间 是 有 限制 的 ， 当 超过 一 定 限 度 时 ， 日 志文 件 会 自 
动 改 为 另 一 个 名 字 ， 如 vsftpd.log.1 等 ， 同 时 ， 原 来 的 文件 又 从 头 开始 记录 日 志 
信息 。 
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还 有 ， 当 syslog_enable 选项 设 为 YES 时 ，vsftpd 会 把 本 来 输出 到 /var/ftp/vsftpd.log 文 


件 中 的 日 志 输 到 系统 日 志 中 。log_ftp_protocol 表示 把 FTP 协议 的 控制 命令 和 应 答 也 记录 下 
来 ， 这 种 日 志 信息 量 是 非常 大 的 。 最 后 ， 还 有 一 个 no log lock 选项 与 日 志 有 关 ， 它 设 为 
YES 时 ， 在 写 日 志文 件 时 ， 将 阻止 Vsftpd 使 用 文件 锁定 ， 目 的 是 为 了 免 受 某 些 操作 系统 
bug 的 影响 ， 一 般 是 不 启用 的 。 下 面 是 一 些 在 vsftpd.log 文件 中 记录 的 日 志 信息 。 


户 


空 


Sun Nov 9 14:26:05 2008 1 192.168.1.147 2690 /home/os/l.txt b_oros ftp 
0*c 

Sun Nov 9 14:26:52 2008 1 192.168.1.147 156 /home/os/1.txt b _iros ftp 
Le 

Sun Nov 9 14:27:21 2008 1 10.10.1.29 156 /home/os/l.txt b oros ftpo0 
ic 

Sun Nov 9 14:45:26 2008 1 10.10.1.29 717 /home/os/vsftpd.conf b iros 
ftP 0 * C 

Sun Nov 9 14:46:22 2008 1 192.168.1.147 717 /home/os/vsftpd.conf a _or 
os ftp 0O*c 

Sun Nov 9 20:44:05 2008 1 10.10.1.29 4440 /home/os/vsftpd.conf b iros 
下 DUO EC 


以 上 日 志 中 ， 每 一 列 的 含义 分 别 如 下 所 示 。 

记录 日 志 时 间 。 

文件 传输 时 所 花 的 时 间 。 

客户 机 的 名 称 或 IP 地 址 。 

传输 的 字 节 数 。 

上 传 或 下 载 的 文件 名 称 及 路 径 。 

传输 的 方式 。a 表示 ASCII 方式 、b 表示 二 进 制 方式 。 

行为 标志 :“-” 表 示 没 有 行为 ， 其 余 的 保留 未 用 。 

传输 方向 : o 表示 出 去 ，i 表示 进来 ， 都 是 相对 服务 器 而 言 。 
访问 方式 : a 表示 匿名 用 户 ，g 表示 客人 用 户 , r 表示 真实 用 户 。 
用 户 名 。 

服务 名 称 : 都 是 ftp。 

认证 方式 : 0 表示 未 使 用 。 

认证 的 用 户 ID: * 表 示 未 使 用 。 

完成 状态 : c 表示 完成 传输 ，i 表示 未 完成 传输 。 

一 般 情 况 下 ，Vsftpd 的 日 志 内 容 非常 多 ， 需 要 通过 专门 的 日 志 分 析 工 具 进行 分 析 。 


OoOOoOoOooOoOoOooOooOooOoOOODO DO 


12.5 磁盘 限额 


除了 为 用 户 提供 文件 下 载 服务 外 ， 很 多 的 FTP 服务 器 还 可 以 为 用 户 提供 空间 ， 人 允许 用 
上 传 文件 。 但 是 ， 每 个 用 户 一 般 都 会 倾向 于 使 用 更 多 的 磁盘 空间 ， 如 果 不 对 用 户 的 磁盘 
间 进 行 限制 ， 则 磁盘 空间 将 很 快 消耗 完 。 为 了 避免 这 种 情况 的 发 生 ， 可 以 采取 措施 ， 对 


户 使 用 磁盘 进行 限额 。 下 面 介绍 在 Linux 系统 中 使 用 quota 软件 限制 用 户 磁盘 空间 的 方 


法 。 
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12.5.1 设置 支持 磁盘 限额 的 分 区 


磁盘 限额 (quota) 是 系统 管理 员 用 来 监控 和 限制 用 户 或 组 对 磁盘 的 使 用 的 工具 。 磁 盘 
限额 是 针对 磁盘 分 区 而 言 的 ， 也 就 是 说 ， 一 个 磁盘 分 区 不 能 一 部 分 用 于 限额 使 用 ， 而 另 一 
部 分 却 随便 使 用 。 还 有 ，Linux 内 核 必须 要 提供 对 限额 的 支持 ， 编 译 时 需要 设 定 对 quota 
的 支持 。 

全 注意 ; 磁盘 限额 只 对 一 般 用 户 有 效 ， 对 root 用 户 是 无 效 的 。 

Quota 可 以 有 两 种 形式 。 一 种 是 限制 用 户 或 组 可 以 拥有 的 inode 数 ， 也 就 是 文件 数 。 还 
有 一 种 是 限制 分 配给 用 户 或 组 的 磁盘 块 的 数目 ， 也 就 是 磁盘 空间 。 通 过 使 用 quota， 系 统管 
理 员 可 以 限制 用 户 无 节制 地 占用 磁盘 空间 。 在 RHEL 6 操作 系统 默认 安装 时 ， 已 经 安装 了 
quota 软件 包 ， 可 以 用 以 下 命令 查看 。 


# rpm -qalgrep quota 

quota-3.17-16.e16.i686 

为 了 使 用 磁盘 限额 功能 ， 首 先 需 要 设置 挂 载 文件 系统 时 对 磁盘 限额 的 支持 ， 具 体 方法 
是 修改 /etc/fstab 文件 ， 在 需要 进行 磁盘 限额 的 分 区 行 的 选项 位 置 添加 usrquota (用户 限额 
或 grpquota〈 用 户 组 限额 )， 有 具体 如 下 所 示 。 


/dev/VolGroup00/LogVo100 / ext4 defaults Pi 
LABEL=/boot /boot ext4 defaults p 4 
/dev/sdbl /ftpuser ext4 defaults,usrquota,grpquota 1 1 
devpts /dev/pts devpts gid=5,mode=620 0 0 
tmpfs /dev/shm tmpfs defaults 00 
proc /proc proc defaults 00 
sysfs /sys sysfs defaults 00 
/dev/VolGroup00/LogVol101 swap swap defaults 00 


第 3 行 表示 /dev/sdb1 分 区 挂 载 在 /ftpuser 目录 ， 其 选项 包含 了 usrquota 和 grpquota， 因 
此 这 个 分 区 将 支持 磁盘 限额 功能 。 为 了 使 修改 生效 ， 可 以 重新 启动 计算 机 ， 也 可 以 用 以 下 
命令 重新 装载 分 区 : 


# mount -o remount /ftpuser 


以 上 命令 执行 时 ，/ftpuser 中 不 能 有 打开 的 文件 ， 因 此 ， 根 分 区 只 能 通过 重启 才能 重新 
装载 。 以 上 工作 完成 后 ， 还 需 在 分 区 的 安装 目录 生成 aquota.group 和 aquota.user 两 个 文件 ， 
分 别 用 来 记录 该 分 区 空间 的 使 用 情况 。 这 两 个 文件 需要 通过 quotacheck 命令 建立 ， 有 具体 命 
令 如 下 : 

[root@localhost ftpuser]# ls 

lost+found 

[root@localhost ftpuser]# quotacheck -agu 

[root@localhost ftpuser]# ls 


aquota.group aquota.user lost+found 
[root@localhost ftpuser]# 


可 以 看 到 ， 执 行 了 “quotacheck -agu” 命 令 后 ，/ftpuser 目录 下 出 现 了 两 个 文件 aquota. 
group 和 aquota.user, 它们 是 二 进 制 文件 。quotacheck 命令 中 , -a 表示 扫描 所 有 挂 载 的 分 区 
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如 果 发 现 该 分 区 挂 载 时 具有 usrquota 和 grpquota 选项 ， 则 会 检查 其 挂 载 的 目录 是 否 有 
aquota.user 文件 。 如 果 没 有 ， 则 会 建立 。-g 选项 表示 还 要 检查 是 否 有 aquota.group 文件 ; 
-u 是 默认 选项 ， 检 查 是 否 有 aquota.user 文件 。 


12.5.2 ”设置 对 用 户 的 磁盘 限额 


设置 了 支持 磁盘 限额 的 分 区 后 ， 就 可 以 对 具体 的 用 户 或 用 户 组 进行 该 分 区 的 磁盘 限额 
了 。 这 些 限 额 信息 都 存储 在 挂 载 目 录 的 aquota.user 和 aquota.group 文件 中 ， 但 由 于 这 两 个 
文件 不 是 文本 文件 ， 因 此 不 能 直接 用 vi 等 命令 进行 编辑 ， 需 要 通过 quota 软件 包 提 供 的 
edquota 命令 进行 编辑 。edquota 命令 的 格式 如 下 : 

edquota [-u] [-p 用 户 名 ] [-f 文件 系统 ] < 用 户 名 > 

edquota -g [-p 用 户 组 名 ] [-f 文件 系统 < 用 户 组 名 > 

edquota [-ul-g] [-f 文件 系统 ] -t 

edquota [-ul-g] [-f 文件 系统 ] -T < 用 户 名 | 用 户 组 名 > 

以 上 格式 中 ， 第 一 行 的 -u 是 对 用 户 进行 磁盘 限额 设置 ， 这 也 是 默认 的 选项 。-f 选项 用 
于 指定 特定 的 限额 分 区 ，-p 选项 表示 以 某 一 用 户 为 模板 进行 用 户 的 磁盘 限额 设置 。 第 二 行 
的 -g 选项 表示 对 用 户 组 进行 磁盘 限额 设置 ， 此 时 ， 后 面 要 跟 用 户 组 名 。 第 三 行 的 -t 选项 表 
示 要 进行 宽 限时 间 限 制 ， 可 以 是 针对 所 有 用 户 或 用 户 组 ， 默 认 两 者 都 是 。-T 选项 可 以 是 针 
对 选 定 的 用 户 或 用 户 组 进行 宽 限时 间 的 设置 。 

在 quota 中 ， 有 两 种 类 型 的 磁盘 空间 限额 。 一 种 是 软 限额 ,表示 用 户 达 到 这 个 限额 后 ， 
系统 将 给 出 警告 ， 但 用 户 在 宽 限时 间 内 还 可 以 继续 使 用 空间 或 inode。 还 有 一 种 是 硬 限额 ， 
表示 用 户 不 能 超过 这 个 限额 。 


全 说 明 : 所 谓 的 宽 限 时 间 ， 就 是 指 用 户 使 用 的 磁盘 空间 或 inode 数 超过 软 限额 后 ， 要 求 在 
多 长 时 间 内 必须 要 降 到 软 限额 以 下 ， 否 则 ， 将 不 能 继续 使 用 空间 或 inode 数 。 


下 面 是 执行 “edquota abe ”命令 后 出 现 的 结果 。 此 时 实际 上 是 进入 了 vi 状态 ， 用 户 可 
以 对 各 种 数字 进行 编辑 ， 其 作用 是 对 用 户 abc 进行 磁盘 限额 设置 。 
Disk quotas for user abc (uid 500) : 


Filesystem blocks soft hard inodes soft hard 
/dev/sdbl 0 0 0 0 0 0 


以 上 各 列 中 ， 第 一 列表 示 限 额 的 分 区 ， 第 二 列表 示 该 用 户 已 经 使 用 的 磁盘 块 数 ， 第 三 
列表 示 磁 盘 块 数 的 软 限制 ， 第 四 列表 示 磁 盘 块 数 的 便 限 制 。 后 面 的 三 列 分 别 表 示 用 户 已 经 
使 用 的 inode 数 及 inode 的 软 限制 和 硬 限制 。 每 一 行 表示 一 个 要 进行 磁盘 限额 的 分 区 。 如 果 
有 多 个 分 区 设置 了 限额 功能 ， 将 会 出 现 多 行 ， 除 非 用 -选项 指定 了 某 一 具体 分 区 。 

例如 ,如果 设置 abc 用 户 在 /devsdbl 分 区 上 最 多 只 能 使 用 100 个 磁盘 块 ， 如果 达 到 90 
个 磁盘 块 ， 将 会 给 予 警 告 。 而 且 最 多 只 能 创建 8 个 文件 ， 达 到 6 个 时 将 给 予 警 告 ， 则 设置 
的 内 容 如 下 : 


Disk quotas for user abc (uid 500): 
Filesystem blocks soft hard inodes soft hard 
/dev/sdbl 0 90 100 0 6 8 


默认 情况 下 ， 每 个 磁盘 块 的 容量 是 IKB。 但 需要 注意 的 是 ， 并 不 是 每 一 个 磁盘 块 都 会 
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充分 利用 ， 这 是 因为 空间 分 配 是 以 块 为 单位 的 ， 有 些 磁盘 块 可 能 只 存放 了 一 部 分 数据 ， 剩 
余 的 部 分 空间 只 能 是 浪费 了 。 因 此 ，abec 用 户 的 磁盘 限额 为 100 个 磁盘 块 ， 并 不 是 所 有 文 
件 的 字 节 数 加 起 来 后 可 以 达到 100KB。 如果 要 对 宽 限时 间 进 行 调整 , 可 以 输入 “edquota -t” 
命令 ，vi 编辑 器 中 将 出 现 以 下 文字 : 
Grace period before enforcing soft limits for users: 
Time units may be: days, hours, minutes, or seconds 
Filesystem Block grace period Inode grace period 
/dev/sdbl 7days 7days 
此 时 是 对 所 有 的 用 户 设置 宽 限 时 间 。 块 限额 和 inode 限额 默认 都 是 7 天 ， 可 以 改 为 其 
他 时 间 。 除 days 外 ， 单 位 也 可 以 改 为 hours、minutes 或 seconds。 以 上 是 对 用 户 进行 磁盘 
限额 的 方法 。 对 用 户 组 进行 磁盘 限额 的 方法 与 用 户 完全 一 样 ， 其 含义 是 属于 这 个 用 户 组 的 
所 有 用 户 使 用 的 总 的 磁盘 块 或 inode 数 不 能 超过 限制 。 


12.5.3 ”启用 和 终止 磁盘 限额 

设置 好 用 户 或 用 户 组 的 磁盘 限额 后 , 为 了 使 所 做 的 限制 生效 , 需要 开启 磁盘 限额 功能 ， 
其 命令 是 quotaon， 格 式 如 下 : 

quotaon < 文件 系统 > 

或 者 使 用 以 下 命令 自动 搜索 所 有 设置 了 磁盘 限额 的 分 区 ， 并 启用 。 

quotaon -aguv 


如 果 要 关闭 磁盘 限额 功能 ， 使 用 的 是 quotaoff 命令 ， 其 格式 与 quotaon 命令 相似 。 下 
面 启用 /ftpuser 分 区 的 磁盘 限额 功能 。 输 入 以 下 命令 : 


quotaon /ftpuser 


为 了 测试 磁盘 限额 功能 ，root 用 户 执行 了 以 下 命令 : 


# mkdir /ftpuser/abc 
# chown abc /ftpuser/abc 


于 是 ，abc 用 户 拥 有 了 /ftpuser/abc。 由 于 12.5.2 节 已 经 给 abc 用 户 做 了 磁盘 限额 ， 因 此 
接 下 来 以 abc 用 户 登录 ， 执 行 以 下 命令 : 


abc@localhost ~]$ cd /ftpuser/abc 
[abc@localhost abc]$ cp /bin/zcat ./ 
abc@localhost abc]$ quota abc  //quota 命令 用 于 查看 用 户 当前 磁盘 使 用 和 限额 情况 
Disk quotas for user abc (uid 500): 
Filesystem blocks quota limit grace files quota limit grace 
/dev/sdbl 了 之 90 100 1 6 8 
abc@localhost abc]$ cp /bin/true ./ 
sdbl: warning, user block quota exceeded. 
//true 文件 复制 进去 后 , abc 占用 的 磁盘 块 超过 软 限制 , 出 现 该 提示 
abc@localhost abc]$ quota abc 
// 再 执行 quota 命令 时 ,可 以 发 现 abc 用 户 占用 96 块 磁盘 块 ,超过 软件 限制 
Disk quotas for user abc (uid 500): 
Filesystem blocks quota limit grace files quota limit grace 
/dev/sdbl 96* 90 100 7days 2 6 8 
abc@localhost abc]$ cp /bin/touch ./ // 如 果 继 续 复制 文件 , 将 超过 硬 限制 
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sdbl: write failed，user block 1limit reached. // 提 示 因 达到 硬 限 制 , 写 入 失败 
cp: 写 入 "./touch": 超出 磁盘 限额 

abc@localhost abc]5 1s -1 

总 计 100 

-IrIWxr-xr-x 1 abc abc 0 12-30 22:14 touch 

-IrWxr-xr-X 1 abc abc 16932 12-30 22:13 七 rue 

-rwWwxr-xr-x 1 abc abc 62136 12-30 22:13 zcat 

abc@localhost abc]$ 


从 以 上 测试 结果 可 以 看 到 ， 第 一 次 复制 /bin/zcat 文件 到 abc 目录 后 ， 虽 然 该 文件 大 小 
只 有 62136 字 节 ， 但 要 占用 72 个 磁盘 块 。 第 二 次 复制 /bin/true 文件 到 abe 目录 后 ，abc 用 
户 占 用 的 磁盘 块 数 已 经 达到 了 96, 超过 了 软件 限制 90, 因此 系统 给 出 了 “sdb1: warning, user 
block quota exceeded.” 和 警告 提示 ,但 还 可 以 继续 使 用 。 第 三 次 复制 /bin/touch 文件 时 ， 由 于 
已 经 超出 了 硬 限制 ， 因 此 复制 失败 ， 此 时 由 于 inode 数 未 达到 限制 ，touch 文件 还 是 能 创建 
的 ， 但 字 节 数 是 0。 


12.6 小 结 


FTP 服务 器 是 Internet 上 最 常见 的 服务 器 之 一 。 本 章 首先 讲述 了 FTP 的 工作 原理 ， 主 
要 是 有 关 FTP 协议 的 解释 , 然后 介绍 了 FTP 客户 端的 使 用 方法 , 接 下 来 重点 介绍 了 Vsftpd 
服务 器 的 架设 方法 ， 包 括 Vsftpd 的 安装 、 运 行 与 配置 等 内 容 ， 并 通过 几 个 例子 讲解 了 配置 
方面 的 一 些 技巧 。 最 后 ， 为 了 达到 限制 FTP 用 户 磁盘 空间 的 目的 ， 还 介绍 了 使 用 quota 软 
件 进行 磁盘 限额 的 方法 。 
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DHCP (Dynamic Host Configuration Protocol， 动 态 主机 配置 协议 ) 用 于 为 计算 机 自动 
提供 IP 地 址 、 子 网 拖 码 和 路 由 网 关 等 网 络 配置 信息 。 它 是 通过 网 络 内 一 台 服 务 器 提供 相应 
的 DHCP 服务 来 实现 的 ， 减 少 了 网 络 客户 机 IP 地 址 配置 的 复杂 度 和 管理 开销 。 本 章 将 详 
细 介 绍 DHCP 服务 器 的 工作 原理 、 安 装 、 配 置 、 运 行 和 使 用 方法 。 


13.1 DHCP 服务 概述 


动态 主机 配置 协议 DHCP 的 前 身 是 BOOTP 协议 。 它 工作 在 OSI 的 应 用 层 ， 是 一 种 帮 
助 计算 机 从 指定 的 DHCP 服务 器 获取 网 络 配置 信息 的 自 举 协议 。 下面 介 绍 DHCP 的 基本 知 
识 ， 包 括 DHCP 的 功能 、 工 作 过 程 、 报 文 格式 及 其 与 BOOTP 协议 的 关系 等 内 容 。 


13.1.1 DHCP 的 功能 


在 基于 Internet 的 企业 网 络 中 ， 每 一 台 计 算 机 都 必须 正确 地 配置 TCP/IP 协议 。 这些 配 
置 内 容 包 括 IP 地 址 、 子 网 掩 码 、 默 认 网 关 地 址 、DNS 服务 器 地 址 等 。 如 果 工 作 站 的 数量 
众多 ， 完 成 这 些 配 置 工作 对 网 络 安装 、 维 护 人 员 来 说 将 是 一 项 非常 大 的 工程 ， 并 且 要 避免 
不 出 差错 是 很 困难 的 。 如 果 同 一 个 IP 地 址 被 使 用 了 两 次 ， 这 将 引起 IP 地 址 的 冲突 ， 有 可 
能 使 整个 网 络 不 能 正常 工作 。 采 用 动态 地 址 分 配 可 以 解决 这 个 问题 。 此 时 ， 客 户 机 事先 不 
做 任何 网 络 参数 配置 ， 只 是 在 开机 工作 前 ， 通 过 网 络 和 DHCP 服务 器 取得 联系 ， 然 后 从 
DHCP 服务 器 获取 网 络 配 置 参 数 ， 这 样 大 大 减轻 了 网 络 管理 员 的 工作 负担 。 

另外 ，DHCP 也 给 移动 客户 机 带 来 了 很 大 的 方便 。 因 为 某 一 子 网 为 客户 机 设 定 的 参数 
往往 只 有 在 这 个 子 网 才能 使 用 。 如 果 移 动 到 另 一 子 网 ， 这 些 网 络 参数 往往 需要 重新 设置 。 
在 某 些 场合 下 ， 这 往往 是 不 可 能 的 。 采 用 动态 地 址 分 配 则 可 以 解决 这 一 问题 。 因 为 客户 机 
事先 是 不 设 网 络 参数 的 ， 到 了 哪个 子 网 ， 就 可 以 从 那个 子 网 的 DHCP 服务 器 得 到 能 正常 工 
作 的 网 络 参数 设置 。 

此 外 ， 采 用 DHCP 还 可 以 节省 IP 地 址 资源 。 在 很 多 网 络 中 ， 并 不 是 连 网 的 计算 机 都 
会 同时 工作 的 ， 如 果 为 每 台 计算 机 分 配 一 个 固定 卫 ， 将 不 可 避免 地 会 引起 IP 地 址 资源 的 
浪费 。 如 果 采 用 动态 地 址 分 配 ， 则 只 需要 分 配 最 大 同时 工作 客户 机 的 人 P 数 就 够 了 。 

会 说明: 例如 ， 一 个 网 络 总 共有 1 000 个 客户 ， 但 同时 工作 的 计算 机 最 多 只 有 800 台 。 此 
时 DHCP 服务 器 只 需 准备 800 个 IP 地 址 就 足够 了 。 与 国定 IP 相 比 ， 这 种 方式 就 
节省 了 200 个 IP 地 址 。 

总 的 来 说 ， 网 络 管理 员 可 以 通过 DHCP 服务 器 集中 指派 和 指定 全 局 的 或 子 网 特有 的 
TCP/IP 参数 ， 以 供 整 个 网 络 使 用 。 客 户 机 不 需要 手动 配置 TCP/P， 并 且 当 租约 到 期 后 ， 
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旧 的 IP 地 址 将 被 释放 以 便 重新 使 用 。 也 就 是 说 ，DHCP 服务 器 接管 了 对 工作 站 的 TCP/IP 
进行 适当 配置 的 责任 ， 这 将 有 助 于 大 幅度 降低 网 络 维护 和 管理 的 耗费 。 有 具体 来 说 ，DHCP 


具有 以 下 特点 : 

口 允许 本 地 系统 管理 员 控制 配置 参数 ， 本 地 系统 管理 员 能 够 对 所 希望 管理 的 资源 进 
行 有 效 的 管理 。 

口 客户 端 不 需要 手工 配置 ， 能 够 在 不 参与 的 情况 下 发 现 合适 于 本 地 机 的 配置 参数 ， 
并 利用 这 些 参 数 加 以 配置 。 

口 不 需要 为 单个 客户 端 配置 网 络 。 在 通常 情况 下 ， 网 络 管理 员 没 有 必要 输入 任何 预 
先 设计 好 的 用 户 配置 参数 。 

口 DHCP 服务 器 不 需要 在 每 个 子 网 上 都 配置 一 台 , 它 可 以 和 路 由 器 或 BOOTP 转发 代 
理 一 起 工作 。 


口 出 于 网 络 稳定 与 安全 的 考虑 ， 有 时 需要 在 网 络 中 添加 多 台 DHCP 服务 器 。DHCP 
客户 端 能 够 对 多 个 DHCP 服务 器 提供 的 服务 做 出 响应 。 

DHCP 必须 静态 配置 ， 而 且 必 须 用 现存 的 网 络 协议 实现 。 

DHCP 必须 能 够 为 现 有 的 BOOTP 客户 端 提 供 服 务 。 

不 会 为 多 个 客户 端 分 配置 同一 个 网 络 地 址 。 

如 果 可 能 ， 客 户 端 重新 启动 后 ， 将 被 指定 为 与 原来 相同 的 配置 参数 。 

在 DHCP 服务 器 重新 启动 后 仍然 能 够 保留 客户 端的 配置 参数 。 

能 够 为 新 加 入 的 客户 端 自动 提供 配置 参数 。 

支持 对 特定 客户 端 永久 固定 分 配 网 络 地 址 。 


13.1.2 ”DHCP 的 工作 过 程 


DHCP 是 工作 在 UDP 基础 上 的 一 种 应 用 层 协议 ， 采 用 的 是 客户 端 /服务 器 模式 。 提 供 
信息 的 叫做 DHCP 服务 器 ， 而 请 求 配置 信息 的 计算 机 叫做 DHCP 客户 端 。 其 中 ，DHCP 服 
务 器 使 用 的 是 67 号 端口 ， 而 客户 机 使 用 的 是 68 号 端口 。 下 面 介绍 DHCP 客户 机 是 如 何 获 
得 他 地址 的 ， 这 个 过 程 也 称 为 DHCP 租借 过 程 。 


1. 发 现 阶段 


发 现 阶段 即 DHCP 客户 机 寻找 DHCP 服务 器 的 阶段 。 由 于 DHCP 服务 器 的 卫 地 址 对 
于 客户 机 来 说 是 未 知 的 。 因 此 ，DHCP 客户 机 必须 以 广播 方式 发 送 “DHCP Discover ”消息 
来 寻找 DHCP 服务 器 ， 即 向 IP 地 址 255.255.255.255 发 送 该 消息 。 网 络 上 每 一 台 安装 了 
TCP/IP 协议 的 主机 都 会 接收 到 这 种 广播 信息 ， 但 只 有 DHCP 服务 器 才 会 做 出 响应 。 


2. 提供 阶段 


提供 阶段 即 DHCP 服务 器 提供 IP 地 址 的 阶段 。 每 一 台 从 网 络 中 接收 到 “DHCP 
Discover” 消 息 的 DHCP 服务 器 都 会 做 出 响应 。 从 尚未 出 租 的 人 P 地 址 池 中 挑选 一 个 IP 地 
址 ， 再 加 上 其 他 一 些 配 置信 息 ， 通 过 “DHCP Offer” 消 息 发 送 给 DHCP 客户 机 。 由 于 此 时 
客户 机 还 没有 IP 地 址 ， 服 务 器 用 的 也 是 广播 方式 。 


3. 选择 阶段 
选择 阶段 即 DHCP 客户 机 选择 哪 一 台 DHCP 服务 器 提供 的 卫 地 址 的 阶段 如 果 DHCP 


OOOOOODO 
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客户 机 收 到 了 多 台 DHCP 服务 器 发 来 的 “DHCP Offer” 消 息 ， 则 DHCP 客户 机 只 接收 第 一 
个 收 到 的 “DHCP Offer” 消 息 。 然 后 它 就 以 广播 方式 回答 一 个 “DHCP Request” 消 息 ， 该 
消息 中 包含 了 向 所 选 的 DHCP 服务 器 请 求 IP 地 址 的 内 容 。 


全 说 明 : 之 所 以 要 以 广播 方式 回答 ， 是 为 了 通知 所 有 的 DHCP 服务 器 ， 它 选择 由 哪 一 台 
DHCP 服务 器 提供 IP 地 址 。 


4. 确认 阶段 


确认 阶段 即 DHCP 服务 器 确认 所 提供 的 人 P 地 址 的 阶段 。 当 被 选中 的 DHCP 服务 器 收 
到 DHCP 客户 机 回答 的 “DHCP Request” 消 息 之 后 ,， 它 使 向 DHCP 客户 机 发 送 一 个 包含 它 
所 提供 的 IP 地 址 和 其 他 设置 的 “DHCP Ack” 消 息 ， 告 诉 DHCP 客户 机 现在 可 以 使 用 它 所 
提供 的 IP 地 址 了 , 于 是 DHCP 客户 机 便 采 用 了 服务 器 所 提供 的 网 络 设置 。 另 外 , 除 DHCP 
客户 机 选中 的 那 台 服 务 器 外 ， 其 他 的 DHCP 服务 器 都 将 收回 曾经 提供 的 IP 地 址 。 


5. 重新 申请 


以 后 DHCP 客户 机 每 次 重新 连 上 网 络 时 ， 就 不 需要 再 发 送 “DHCP Discover” 消 息 了 ， 
而 是 直接 发 送 包 含 前 一 次 所 分 配 的 卫 地址 的 “DHCP Request” 消 息 。 当 DHCP 服务 器 收 
到 这 一 信息 后 , 它 会 尝试 让 DHCP 客户 机 继续 使 用 原来 的 IP 地 址 , 回答 一 个 “DHCP Ack” 
消息 。 如 果 此 IP 地 址 已 无 法 再 继续 分 配给 原来 的 DHCP 客户 机 使 用 时 (例如 该 IP 地 址 已 
分 配给 其 他 DHCP 客户 机 使 用 ), 则 DHCP 服务 器 给 DHCP 客户 机 回答 一 个 DHCP NACK” 
消息 。 当 原来 的 DHCP 客户 机 收 到 这 个 “DHCP NACK” 消 息 后 ， 它 就 会 重新 发 送 “DHCP 
Discover” 消 息 来 请 求 新 的 IP 地 址 。 


6. 更 新 租约 


DHCP 服务 器 向 DHCP 客户 机 出 租 的 IP 地 址 一 般 都 有 一 个 租借 期 限 ， 期 满 后 DHCP 
服务 器 便 会 收回 出 租 的 卫 地址 。 如 果 DHCP 客户 机 要 延长 其 了 P 租约， 则 必须 在 到 期 前 更 
新 其 IP 租约 。 一 般 情况 下 ，DHCP 客户 机 启动 时 和 IP 租约 期 限 过 一 半 时 ，DHCP 客户 机 
都 会 自动 向 DHCP 服务 器 发 送 “DHCP Request” 消 息 ， 以 进行 IP 地 址 租约 的 更 新 。 如 果 
客户 端 可 以 继续 使 用 此 卫 地 址 ， 则 DHCP 服务 器 回应 “DHCP Ack” 报 文 ， 通 知客 户 端 已 
经 获得 新 IP 租约 。 如 果 此 IP 地 址 不 可 以 再 分 配给 客户 端 ， 则 服务 器 回应 “DHCP Nack” 
消息 ， 通 知客 户 端 不 能 获得 新 租约 。 

如 图 13-1 所 示 ， 说 明了 正常 情况 下 ，DHCP 客户 端 获得 IP 地 址 及 网 络 配置 参数 的 4 
个 阶段 。 除 了 以 上 租借 过 程 所 对 应 的 DHCP 消息 外 , 还 有 两 种 DHCP 消息 。 一 种 是 “DHCP 


了 DHCP Discover 


了 DHCP Discover 
@ DHCP Offer @ DHCP Offer 


3) DHCP Request 3) DHCP Request 
Pras 


D DHCP Ack 
DHCP 服 务 器 DHCP 客 户 机 DHCP 服务 器 
图 13-1 DHCP 协议 的 四 个 阶段 


sd 
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Decline” 消 息 ， 它 是 在 客户 端 判定 DHCP 服务 器 所 提供 的 配置 参数 是 无 效 时 ， 向 服务 器 发 
送 的 ， 然 后 DHCP 客户 端 需要 重新 开始 租借 过 程 。 还 有 一 种 是 “DHCP Release” 消 息 ， 它 
是 在 客户 端 不 再 使 用 服务 器 所 提供 的 IP 地 址 时 发 送 的 ， 通 知 服务 器 取消 任何 剩 下 的 租约 。 


13.1.3 ”DHCP 报 文 格式 


在 DHCP 获取 耳 地 址 及 其 他 网 络 配置 参数 的 过 程 中 ,DHCP 客户 端 和 服务 器 之 间 要 交 
换 很 多 的 消息 报 文 ， 这 些 DHCP 报 文 总 共 8 种 类 型 。 每 种 报 文 的 格式 相同 ， 只 是 某 些 字 段 
的 取 值 不 同 。 如 图 13-2 所 示 是 DHCP 报 文 的 格式 ， 每 一 个 字段 名 的 含义 如 下 所 示 。 


op(1) htype(1) hlen(1) hops(1) 


secs(2) flags(2) 


ciaddr(4) 


yiaddr(4) 
siaddr(4) 


giaddr(4) 
chaddr(16) 
Sname(64) 


file(128) 


options(variable) 


图 13-2 DHCP 报 文 格式 


口 op: 报 文 的 操作 类 型 分 为 请 求 报 文 和 响应 报 文 ，1 为 请 求 报 文 ，2 为 响应 报 文 。 具 
体 的 报 文 类 型 在 option 字段 中 标识 。 

口 htype: DHCP 客户 端的 硬件 地 址 类 型 。1 表示 ethernet 地 址 。 

口 hlen: DHCP 客户 端的 硬件 地 址 长 度 。ethernet 地 址 为 6。 

口 hops: DHCP 报 文 经 过 的 DHCP 中 继 的 数目 。 初 始 为 0， 报 文 每 经 过 一 个 DHCP 

中 继 ， 该 字段 就 会 增加 1。 

xid: 客户 端 发 起 一 次 请 求 时 选择 的 随机 数 ， 用 来 标识 一 次 地 址 请 求 过 程 。 

secs: DHCP 客户 端 开始 DHCP 请 求 后 所 经 过 的 时 间 。 目 前 尚未 使 用 ， 固 定 取 0。 

flags: DHCP 服务 器 响应 报 文 是 采用 单 播 还 是 广播 方式 发 送 。 只 使 用 第 0 比特 位 ， 

0 表示 采用 单 播 方式 ，1 表示 采用 广播 方式 ， 其 余 比特 保留 不 用 。 

ciaddr: DHCP 客户 端的 卫 地 址 。 

yiaddr: DHCP 服务 器 分 配给 客户 端的 IP 地 址 。 

siaddr: DHCP 客户 端 获取 卫 地 址 等 信息 的 服务 器 IP 地 址 。 

giaddr: DHCP 客户 端 发 出 请 求 报 文 后 经 过 的 第 一 个 DHCP 中 继 的 卫 地 址 。 

chaddr: DHCP 客户 端的 硬件 地 址 。 

sname: DHCP 客户 端 获取 卫 地 址 等 信息 的 服务 器 名 称 。 

file: DHCP 服务 器 为 DHCP 客户 端 指定 的 启动 配置 文件 名 称 及 路 径 信息 。 


DOODO 
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option: 可 选 变 长 选项 字段 , 包含 报 文 的 类 型 、 有效 租 期 、 DNS 服务 器 的 IP 地 址 、 
WINS 服务 器 的 IP 地 址 等 配置 信息 。 


在 图 13-2 所 示 的 DHCP 报 文 格式 中 ， 每 一 个 字段 后 的 数字 表示 该 字段 在 报 文中 占用 
的 字 节 数 。 


公 注 意 : 


Options 字段 的 长 度 要 根据 服务 器 所 提供 参数 的 多 少 而 定 ， 是 可 变 的 。 


13.1.4 DHCP 与 BOOTP 
bootstrap 协议 (BOOTP ) 是 先 于 DHCP 开发 的 主机 配置 协议 。 它 主要 用 于 无 盘 工 作 站 


网 络 中 ， 
了 改进 ， 


来 配置 具有 有 限 引导 能 力 的 无 盘 工 作 站 。DHCP 协议 在 BOOTP 的 基础 上 进行 
并 消除 了 BOOTP 作为 主机 配置 服务 所 具有 的 特殊 限制 。DHCP 用 来 配置 经 常 移 


动 的 网 络 计算 机 ， 这 些 机 器 有 本 地 硬盘 驱动 器 和 完全 的 引导 能 力 。 它 们 之 间 有 以 下 共同 之 
处 与 联系 。 


口 


口 
口 
口 


口 口 


BOOTP 和 DHCP 使 用 的 消息 报 文 格式 几乎 相同 。 

BOOTP 和 DHCP 消息 报 文 都 使 用 用 户 数据 报 协议 CUDP) 封装 。 

BOOTP 和 DHCP 均 使 用 相同 的 23 号 端口 在 服务 器 和 客户 端 之 间 发 送 和 接收 消息 。 
BOOTP 和 DHCP 都 在 启动 期 间 将 IP 地 址 分 配给 客户 端 ， 而 且 可 以 带 有 其 他 网 络 
配置 参数 。 

提供 DHCP 服务 的 服务 器 一 般 均 能 同时 提供 BOOTP 服务 。 

BOOTP 和 DHCP 的 中 继 代理 程序 通常 将 BOOTP 和 DHCP 消息 视 为 相同 的 消息 类 
型 ， 而 不 做 区 分 。 


虽然 BOOTP 和 DHCP 非常 相似 ， 但 由 于 DHCP 是 通过 改进 BOOTP 协议 而 产生 的 ， 
而 且 两 者 的 目的 也 不 一 样 , 因此 它们 之 间 还 是 存在 很 大 区 别 的 , 具体 表现 在 以 下 几 个 方面 。 


口 


口 


BOOTP 消息 报 文 的 最 后 一 个 字段 限制 为 64 个 字 节 ， 称 为 “特定 供应 商 区域 ”。 
而 DHCP 消息 报 文 的 最 后 一 个 字段 最 多 可 有 312 字 节 ， 称 为 “选项 ”字段 。 
BOOTP 通常 为 每 台 客户 机 提供 单个 耳 地 址 的 固定 分 配 , 在 BOOTP 服务 器 数据 库 
中 永久 保留 该 地 址 。DHCP 通常 提供 可 用 IP 地 址 的 动态 、 租 用 分 配 ， 在 DHCP 服 
务 器 数据 库 中 暂时 保留 每 台 DHCP 客户 台地 址 。 

BOOTP 引导 配置 需要 两 个 阶段 ， 客 户 机 首先 连接 到 BOOTP 服务 器 进行 地 址 决定 
和 引导 文件 名 选择 ， 再 连接 到 TFTP 服务 器 进行 引导 映像 文件 的 文件 传输 。DHCP 
只 需 一 个 阶段 引导 配置 过 程 ，DHCP 客户 机 和 DHCP 服务 器 协商 以 决定 卫 地 址 并 
获得 其 他 网 络 配置 参数 。 

除非 系统 重启 ， 否 则 BOOTP 客户 机 不 会 通过 BOOTP 服务 器 重 绑 定 或 更 新 配置 。 
而 DHCP 客户 机 无 需 系 统 重启 就 能 在 设置 的 时 间 段 内 向 服务 器 提出 更 新 租约 请 
求 ， 与 DHCP 服务 器 重 绑 定 或 更 新 配置 。 这 个 过 程 无 需 用 户 干预 。 


13.2 DHCP 服务 器 的 安装 与 运行 


ISC DHCP 一 个 开源 的 软件 项 目 。 它 实现 了 RFC 文档 所 定义 的 DHCP 协议 , 可 以 在 高 
容量 、 高 可 靠 性 的 场合 应 用 。RHEL 6 就 采纳 了 该 软件 作为 发 行 版 的 DHCP 服务 器 软件 ， 
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下 面 介 绍 ISC DHCP 服务 器 的 安装 、 运 行 和 使 用 。 
13.2.1 DHCP 服务 的 安装 


在 RedHat Enterprise Linux 6 下 安装 DHCP 服务 器 可 以 有 两 种 方式 ,一 种 是 源 代码 方式 
安装 ， 另 一 种 是 RPM 软件 包 方式 安装 。 源 代码 可 以 从 ftp:/ftp.isc.org/isc/dhcp/ 处 下 载 ， 目 
前 正式 使 用 的 最 新 版 本 是 4.2.2 版 , 文件 名 是 dhcp-4.2.2.targz。RHEL 6 自 带 的 DHCP 服务 
器 版 本 是 4.1.1 版 ， dhcp-4.1.1-31.P1.el6.i686.rpm 是 它 的 文件 名 。 

先 看 一 下 RPM 方式 安装 。 如 果 安 装 RHEL 6 系统 的 时 候 没 有 选择 安装 
dhcp-4.1.1-31.P1.el6 包 ， 需 要 从 安装 光盘 上 把 相应 的 文件 复 到 当前 目录 以 后 ， 再 用 以 下 命 

# rpm -ivh dhcp-4.1.1-31.P1.e16.1686.rpm 

warning: dhcp-4.1.1-31.P1.e16.i1686.rpm: Header V3 RSA/SHA256 Signature, key 

ID fd431d51: NOKEY 

Preparing... 

| 

1:dhcPp 
提 非 提 提 提 间 间 莫非 提 间 间 提 大 提 提 搓 提 提 提 提 提 提 搓 提 间 提 间 大 并 提 间 间 间 间 间 并 间 并 并 [ 工 OO 条] 


安装 成 功 后 ， 儿 个 重要 的 文件 分 布 如 下 所 示 。 
/etc/dhcpd.conf: DHCP 服务 器 主 配 置 文件 。 
/etc/re.d/init.d/dhcpd: 开机 自动 运行 DHCP Server 的 执行 脚本 。 
/etc/re.d/init.d/dhcrelay: 开机 自动 运行 DHCP 中 继 的 执行 脚本 。 
/usr/bin/omshell: ISC DHCP 服务 器 控制 工具 。 
/usr/sbin/dhcpd: DHCP 服务 器 的 执行 命令 文件 。 
/usr/sbin/dhcrelay: DHCP 中 继 的 执行 命令 文件 。 
/usr/share/doc/dhcp-4.1.1: DHCP 帮助 和 说 明文 件 。 
/varlib/dhcpd/dhcpd.leases: 已 分 配 的 卫 地 址 存放 在 该 文件 中 。 
如 果 采 用 源 代码 方式 安装 ， 则 下 载 dhcp-4.2.2.tar.gz 文件 到 当前 目录 后 ， 使 用 以 下 命令 
进行 安装 。 


OOOOOOODO 


# tar -zxvf dhcp-4.2.2.tar.gz // 解 压 源 代码 文件 包 , 到 dhcp-4.2.2 目录 中 
# cd dhcp-4.2.2 

# ./configure // 产 生 Makefile 文件 

# make // 由 于 文件 较 多 , 需要 较 长 时 间 

# make install // 把 各 种 文件 复制 到 相应 的 系统 目录 


全 注意 ! 如 果 已 经 安装 了 dhcp-4.1.1-31.P1.el6 包 ， 则 先 要 用 rpm -e dhcp-4.1.1-31.P1.e16 命 
令 拆 除 ， 以 免 引 起 冲突 。 


13.2.2 ”DHCP 服务 器 的 运行 


下 面 以 RHEL 6 自 带 DHCP RPM 包 为 例 ， 介 绍 dhcpd 的 运行 。 当 dhcp-4.1.1-31.P1.el6 
安装 完成 后 ， 将 会 出 现 文件 /etc/dhcpd.conf， 它 是 dhcpd 的 主 配 置 文件 。 但 开始 时 ， 里 面 除 
注释 外 是 没有 配置 内 容 的 。 为 了 方便 , 可 以 把 /usr/share/doc/dhcp-4.1.1 目录 下 的 例子 配置 文 
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件 dhcpd.confsample 复制 为 /etc/dhcpd.conf， 再 查看 该 文件 的 内 容 。 


# more /etc/dhcpd.conf 


ddns-update-style interim; # ”支持 动态 DNSs, DHCP 服务 器 对 DNS 服务 器 的 更 新 
方式 为 interim 

subnet 10.152.187.0 netmask 255.255.255.0{ 

} 


# This is a very basic subnet declaration. 


subnet 10.254.239.0 netmask 255.255.255.224 { 

range 10.254.239.10 10.254.239.20; 

option routers rtr-239-0-1.example.org, rtr-239-0-2.example.org; 
| 
# A slightly different configuration for an internal subnet. 
subnet 10.5.5.0 netmask 255.255.255.224 { 

range. 10.5.5.26 10.5.5.30> 

option domain-name-servers nsl.internal.example.org; 

option domain-name "internal.example.org"; 

option routers 10.5.5.1; 

option broadcast-address 10.5.5.31; 

default-lease-time 600; 

max-lease-time 7200; 


host passacaglia { 
hardware ethernet 0:0:c0:5d:bd:95; 
filename "vmunix.passacaglia"; 
SerVer-name "toccata.fugue.com"; 
} 
# other clients get addresses on the 10.0.29/24 subnet. 


class "foo™ { 
match if substring (option vendor-class-identifier, 0, 4) = "SUNW"; 
} 


shared-network 224-29 { 
subnet 10.17.224.0 netmask 255.255.255.0 { 
option routers rtr-224.example.org; 


| 
subnet 10.0.29.0 netmask 255.255.255.0 { 
option routers rtr-29.example.org; 
} 
pool { 
allow members of "foo"; 
range 10.17.224.10 10.17.224.250; 
E 
pool { 
deny members of "foo"; 
range 10.0.29.10 10.0.29.230; 
: 
} 
和 


在 DHCP 配置 文件 中 ， 每 一 个 语句 以 “;” 结 束 ， 某 些 语句 可 以 由 花 括 号 包围 而 构成 一 
个 语句 区 。 为 了 更 容易 阅读 ，DHCP 配置 文件 里 可 以 包含 额外 的 空格 、 空 行 和 TAB 符号 ， 
关键 字 是 区 别 大 小 写 的 ， 每 一 行 的 “#” 后 面 的 符号 被 认为 是 注释 。 
外 注意 : 在 语句 区 前 面 放置 的 配置 参数 可 以 影响 整个 语 自 区 ， 但 语句 区 内 出 现 同样 的 配置 
参数 时 ， 将 覆盖 放 在 外 面 的 配置 参数 。 
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在 例子 配置 文件 下 ，dhcpd 很 可 能 还 不 能 运行 ， 因 为 dhcpd 要 求 必 须要 为 本 地 网 卡 所 
在 的 子 网 配置 一 个 subnet 语句 。 在 例子 配置 文件 中 配置 的 subnet 是 10.5.5.0， 但 主机 唯一 
的 网 卡其 子 网 是 192.168.127.0/24， 如 果 此 时 运行 dhcpd， 会 有 出 错 提示 ， 并 且 会 退出 。 

为 了 使 dhcp 能 初步 得 到 运行 ， 需 要 改变 例子 配置 文件 内 容 。 根 据 主机 网 络 接口 卫 地 
址 (例子 中 的 主机 使 用 的 了 P 地 址 是 192.168.127.0) 的 情况 , 可 以 把 “subnet 10.5.5.0 netmask 
255.255.255.224” 和 “range 10.5.5.26 10.5.5.30” 中 的 10.5.5 改 为 192.168.127， 这 样 ， 输 入 


以 下 命令 时 ， 可 以 使 dhcpd 运行 起 来 。 当 然 ， 此 时 其 他 的 配置 参数 对 10.5.5.0 网 段 肯定 是 
不 合适 的 ， 也 要 根据 实际 情况 进行 修改 。 
/usr/sbin/dhcpd 


可 以 用 以 下 命令 查看 一 下 dhcpd 进程 是 否 已 启动 。 


# ps -eaflgrep dhcp 


root 7176 1 0 23:24 00:00:00 /usr/sbin/dhcpd 
root 7178 3300 0 23:24 pts/0 00:00:00 grep dhcp 
可 以 看 到 ，dhcpd 进程 已 经 在 运行 ， 并 且 以 root 用 户 的 身份 在 运行 。 再 输入 以 下 命令 


可 以 查看 UDP 协议 的 67 号 端口 是 否 已 在 监听 。 


# netstat -anlgrep :67 
udp 0 0 05.0.0.0567 0.0.0.0:* LISTEN 
# 


UDP 的 67 号 端口 是 DHCP 服务 器 默认 要 监听 端口 ， 客 户 端 发 给 服务 器 的 DHCP 消息 
要 通过 这 个 端口 送 给 dhcpd， 而 dhcpd 默认 要 通过 68 号 端口 给 客户 端 回 复 DHCP 消息 。 另 
外 ， 为 了 确保 客户 端 能 够 访问 DHCP 服务 器 ， 如 果 防 火 墙 未 开放 UDP 的 67 号 端口 ， 可 以 
输入 以 下 命令 打开 : 


# iptables -I INPUT -p udp --dport 67 -j ACCEPT 


或 者 用 以 下 命令 清空 防火 墙 的 所 有 规则 。 
# iptables -F 


上 述 过 程 完成 后 ， 可 以 在 DHCP 客户 端 已 经 可 以 从 服务 器 得 到 网 络 配置 参数 ,但 由 于 
例子 配置 中 的 其 他 配置 还 未 根据 实际 情况 修改 ， 因 此 ， 这 些 网 络 配 置 参 数 基 本 上 还 不 能 使 
客户 端正 常 地 工作 。13.3 节 将 讲述 DHCP 服务 器 的 配置 。 


13.2.3” ”DHCP 客户 端 


为 了 能 使 用 DHCP 服务 器 提供 的 服务 ， 客 户 机 需要 做 合适 的 设置 。 在 Linux 操作 系统 
下 安装 好 网 络 接 口 卡 后 , 可 以 通过 修改 /etc/sysconfig/network-scripts 目录 下 的 接口 配置 文件 
进行 配置 。 如 果 主 机 有 一 块 以 太 网 卡 已 启用 , 则 在 该 目录 下 将 会 有 一 个 名 为 ifcfg-eth0 的 文 
件 ， 里面 包含 了 第 一 块 以 太 网 卡 的 配置 。 如 果 要 求 该 网 卡 在 主机 启动 时 使 用 DHCP 获得 网 
络 配 置 参数 ， 网 卡 配 置 文件 中 需要 包含 以 下 配置 内 容 : 

# more ifcfg-eth0 


DEVICE=eth0 
BOOTPROTO=dhcp 
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ONBOOT=yes 


其 中 ,BOOTPROTO=dhcp 表示 该 网 卡 启动 时 利用 DHCP 自动 获得 地 址 .另外 ,在 RHEL 
6 操作 系统 下 ，DHCP 客户 端的 功能 是 由 dhclient-4.1.1-31.P1.el6 包 实 现 的 ， 通 过 配置 
dhclient.conf， 可 以 实现 非常 丰富 的 DHCP 客户 端 功能 ， 例 如 动态 DNS 和 别名 等 。 

在 RHEL6 图 形 界面 下 ， 可 以 通过 以 下 步骤 设置 DHCP 客户 端 。 

(1) 选择 “系统 ”|“ 首 选项 ”|“ 网 络 连接 ”命令 ， 可 以 出 现 如 图 13-3 所 示 的 网 络 配 
置 对 话 框 ， 其 中 列 出 了 设备 名 为 eth0 的 以 太 网 卡 设备 。 

pe 在 eth0 设备 上 双击 ， 或 者 在 工具 栏 上 选择 “编辑 ”按钮 ， 将 出 现 如 图 13-4 所 示 

话 框 。 在 对 话 框 中 选择 “IPv4 设置 ”命令 。 


正在 编辑 System eth0 


连接 名 称 (1) [System eth0 
口 自动 连接 (A) 


有 线 802.1X 安全 性 | IPv4 设置 “Ipv6 设置 


方法 (M) : “| 自动 (DHCP) 


加 有 线 加 无 线 入 移动 磺 十 @ VPN 加 DSL 


漂 加 (A) 
DHCP 客户 端 ID: | 
团 需要 IPv4 地 址 完成 这 个 连接 
| | 
XO 回 对 所 有 用 户 可 用 。 “| ”取消 (C) 
图 13-3 RHEL6 下 的 网 络 配置 对 话 框 图 13-4 RHEL5 的 以 太 网 设备 配置 对 话 框 


(3) 在 该 对 话 框 的 “方法 ”下 拉 菜 单 中 选择 “自动 (DHCP)” 选 项 。 
(4) 单 击 “ 应 用 ”按钮 ， 并 在 随后 的 对 话 框 中 确认 保存 并 重启 网 络 。 


全 注意 : 以 上 的 操作 实际 上 也 是 改变 了 /etc/sysconfig/network-scripts/ifcfg-eth0 文件 的 内 容 。 


在 Windows 系统 下 ， 使 用 DHCP 客户 端 获取 IP 地 址 的 设置 可 以 在 网 络 设置 中 进行 ， 
步骤 如 下 所 示 。 

(1) 双击 “控制 面板 ”中 的 “网 络 和 共享 中 心 ” 然后 单 击 “ 更 改 适 配器 设置 ”选项 ， 
可 以 在 出 现 的 窗口 中 看 到 各 个 网 络 接口 。 

(2) 在 某 一 网 络 接口 上 右 击 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 可 以 出 现 如 
图 13-5 所 示 的 对 话 框 。 

(3) 在 如 图 13-5 所 示 的 对 话 框 中 双击 “Internet 协议 (TCP/IP)” 选 项 , 或 选中 “Internet 
协议 “TCP/IP)” 选 项 后 单 击 “ 属 性 ”按钮 ， 可 以 出 现 如 图 13-6 所 示 的 对 话 框 。 
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(4) 选择 “自动 获取 IP 地址 ”和 “自动 获取 DNS 服务 器 ”两 个 单 选 按钮 ， 再 单 击 “ 确 
定 ”按钮 。 


上 VMware Network Adapter VMnet[ 主任 “Internet 协议 版 本 4 (TGP/IPv4) 尾 性 EO 
ms lll 家 这 局 注 
这 接 时 全 用 pr 
Ware Vireo Beheraet Kepter For Wetd | 


[0 


i 四 ) 半自动 名 得 也 2 
ET [a 


EEERISEEERTTT 
使 用 下 面 的 DRS 服务 器 地 址 正 ) 


re EL [属性 @) 
a 它 提供 在 不 同 


退出 时 验证 设置 0 | 
CE Cw CE 
图 13-5 Windows 下 的 网 络 接口 属性 对 话 框 图 13-6 Windows 下 的 TCP/IP 属性 对 话 框 


另外 , 在 Windows 系统 下 还 可 以 使 用 “ipconfig /all” 命 令 列 出 有 关 DHCP 客户 端 获 取 
的 网 络 配 置 参 数 情况 ， 如 图 13-7 所 示 。 
画 C\Windows\system32\cemd.exe eney "| 


C:\Jsers\yatx-8>ipconFig /all 
Nindows IP 配置 


以 太 网 适配器 本 地 连接 : 
按 特定 的 ps 后 组 . . . - - . -. = 


i Pn Rely Contr lss 
8-2B-: AF- 


8:21:52 
16:87:15 


图 13-7 列 出 Windows 客户 端 获取 的 网 络 配 置 参 数 


除了 IP 地址 、 子 网 拖 码 、 默 认 网 关 和 DNS 服务 器 以 外 , 从 图 13-7 中 还 可 以 看 出 ,DHCP 
客户 端 功 能 是 启用 的 ,DHCP 服务 器 的 IP 地 址 是 192.168.2.103, 获得 IP 地 址 的 时 间 是 *2012 
年 9 月 23 日 8:21:52”， 该 他 地 址 将 在 “2012 年 9 月 23 日 16:07:15” 到 期 。 


13.3 DHCP 服务 配置 
有 关 DHCP 服务 器 的 配置 比较 简单 ， 所 有 的 配置 集中 在 一 个 配置 文件 中 ， 其 名 称 和 位 
置 是 /etcdhcpd.conf。 所 有 的 配置 语句 可 以 分 为 3 类 : 一 类 是 参数 (Parameters )， 用 于 表明 
如 何 执行 任务 ， 是 否 要 执行 任务 。 第 二 类 是 声明 (Declarations)， 用 来 描述 网 络 布局 、 客 
户 、 提供 IP 地 址 的 策略 等 。 还 有 一 类 是 发 送 给 客户 的 选项 , 实际 上 是 加 了 option 关键 字 的 
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参数 。 下 面 看 一 下 DHCP 配置 语句 的 种 类 和 功能 ， 以 及 使 用 方法 。 
13.3.1 ISC DHCP 配置 参数 


在 ISC DHCP 配置 文件 /etc/dhcpd.conf 中 , 参数 语句 用 于 表明 如 何 执行 任务 , 是否 要 执 
行 任务 , 以 及 进程 的 总 体 运行 状态 其中, 很 多 参数 是 为 BOOTP 客户 使 用 的 .所 有 除 DDNS 
参数 以 外 的 DHCP 配置 参数 见 表 13-1 。 


表 13-1 
参数 名 称 


ISC DHCP 配置 文件 中 的 参数 (Parameters) 


功 能 


always-broadcast [truelfalse] 


是 否 总 是 通过 广播 方式 回应 客户 ， 某 些 客户 端 需要 这 样 做 


always-reply-rfc1048 [truelfalse] 


是 否 总 是 按 RFC1048 回复 ， 为 某 些 特殊 的 客户 启用 


authritative | not Authritative 


是 否 拒绝 人 P 地 址 不 正确 的 客户 机 的 请 求 


boot-unknown-clients [truelfalse] 
default-lease-time < 时 间 值 > 
dynamic-bootp-lease-cutoff 

< 日 期 > 
dynamic-bootp-lease-length 

< 时 间 值 > 

filename <" 文 件 名 "> 
fixed-address < 地 址 > [, 地 址 ] 
get-lease-hostnames [truelfalse] 
hardware < 硬件 类 型 > < 硬件 地 址 > 
lease-file-name < 文件 名 > 
local-address <IP 地 址 > 

local-port < 端口 号 > 

log-facility < 设备 名 > 
max-lease-time ”< 时 间 值 > 


min-lease-time ”< 时 间 值 > 


未 在 host 语句 中 定义 的 客户 机 是 否 允 许 获 得 IP 地 址 
指定 默认 租赁 时 间 的 长 度 ， 单 位 是 秒 


设置 终止 分 配给 BOOTP 客户 的 人 P 地 址 租 期 的 日 期 


动态 分 配给 BOOTP 客户 的 IP 地 址 的 租 期 长 度 ， 单 位 为 秒 


指定 客户 机 初始 引导 文件 的 名 字 

分 配给 客户 端 一 个 固定 的 地 址 ， 只 用 在 host 语句 

是 否 检查 IP 地 址 池 中 每 个 IP 地 址 的 主机 名 ， 默 认为 否 

指定 BOOTP 客户 的 网 卡 接口 类 型 和 MAC 地 址 

指定 租借 文件 的 位 置 和 名 称 ， 默 认为 /varlib/dhcpd/dhcpd.leases 
指定 dhcpd 在 本 地 的 哪 一 个 网 络 接口 上 监听 

指定 dhcpd 监听 的 本 地 UDP 端口 号 ， 默 认为 67 号 

指定 dhcpd 日 志 的 设备 

指定 最 大 租借 时 间 长 度 ， 单 位 是 秒 

指定 最 大 租借 时 间 长 度 ， 单 位 是 秒 


< 秒 数 > 


min-secs 


从 客户 端 发 出 请 求 到 DHCP 服务 器 回应 客户 端 请 求 时 最 小 的 秒 数 


next-server < 服务 器 名 > 


存放 客户 机 初始 引导 文件 的 服务 器 的 地 址 


server-name <" 名 称 "> 


通知 DHCP 客户 机 引导 它 的 服务 器 的 名 称 


omapi-port < 端口 号 > 


one-lease-per-client [truelfalse] 


监听 OMAPI 连接 的 端口 号 ， 用 于 omshell 工具 的 使 
每 个 客户 是 否 只 允许 有 一 个 租约 


pid-file-name ”< 文件 名 > 


设置 dhcpd 进程 PID 的 位 置 ， 默 认 是 /varrun/dhcpd.pid 


ping-check [truelfalse] 


服务 器 分 配 人 P 地 址 ， 是 否 先 ping 一 下 该 地 址 ， 以 决定 是 否 分 配 


ping-timeout < 秒 数 > 
server-identifier < 主机 名 > 


执行 ping-check 时 的 超时 值 
定义 发 送 给 客户 的 服务 器 标识 


site-option-space ”< 名 称 > 


决定 本 地 地 址 选项 (site-local) ， 与 vendor-option-space 语句 相似 


stash-agent-options [truelfalse] 


在 特定 条 件 下 ， 服 务 器 是 否 记 录 中 继 代 理 信 息 
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续 表 
参数 名 称 


use-host-decl-names [truelfalse] 


功 能 
host 语句 中 声明 的 主机 名 是 否 提供 给 客户 机 作为 主机 名 


use-lease-addr-for-default-route 
[truelfalse] 


vendor-option-space ”< 字符 串 > 


否 把 租借 给 客户 机 的 IP 地 址 作为 其 默认 网 关 


是 
指定 开发 商 参数 


下 面 对 表 中 列 出 的 部 分 参数 作 进 一 步 的 解释 。 


authritative | not Authritative 


网 络 管理 员 为 他 们 的 网 络 设置 权威 DHCP 服务 器 ， 需 要 在 配置 文件 的 顶层 添加 
authoritative 语句 ， 来 指示 此 DHCP 服务 器 应 该 回应 DHCPNAK 信息 。 如 果 没 有 做 这 些 ， 
客户 端 在 改变 子 网 后 就 不 能 得 到 正确 的 IP 地 址 ， 除非 它 们 旧 的 租约 已 经 到 期 , 这 可 能 需要 
相当 长 的 时 间 。 通 常 ， 在 配置 文件 的 顶部 标明 authoritative 应 该 是 足够 的 ， 但 是 如 果 一 个 
DHCP 服务 器 知道 它 在 一 些 子 网 中 是 权威 的 服务 器 ， 而 在 另 一 些 子 网 中 不 是 ， 它 就 需要 在 
需要 的 网 段 声 明 自 己 是 权威 的 。 注 意 ， 不 能 为 一 个 shared-network 语句 中 定义 的 不 同 子 网 
设置 不 同 的 authritative。 


dynamic-bootp-lease-cutoff <date>; 


设置 所 有 动态 分 配 的 BOOTP 客户 端 租约 的 结束 时 间 。 因 为 BOOTP 客户 端 没有 任何 
方法 更 新 租约 ， 而 且 不 知道 租约 会 过 期 。 默 认 情 况 下 ，dhcpd 会 分 配给 BOOTP 客户 无 限 的 
租约 。 然 而 ， 有 时 给 BOOTP 用 户 设 置 一 个 终止 时 间 是 有 意义 的 ， 例 如 ， 当 学 期 结束 时 ， 
或 者 到 晚上 设备 关机 时 。<date> 是 所 有 BOOTP 租约 结束 时 间 ， 按 “W YYYY/MM/DD 
HH:MM:SS” 格 式 设 定 ， 是 UTC 时 间 ， 而 不 是 本 地 时 间 。 


log-facility <facility> 


这 个 语句 使 DHCP 服务 器 把 它 的 所 有 日 志 记录 到 一 个 指定 的 日 志 设 备 上 。 默 认 时 ， 
DHCP 服务 器 会 把 日 志 记录 到 daemon 设备 中 。 可 选 的 设备 有 auth、 authpriv、cron、daemon、 
ftp、kern、lpr、mail、mark、news、ntp、security、syslog、user、uucp、local0 一 local7。 这 
些 设备 并 不 是 在 所 有 系统 中 都 可 以 使 用 ， 有 些 系统 中 可 能 还 有 其 他 可 用 的 设备 。 另 外 ， 有 
些 系统 中 可 能 需要 修改 syslog.conf 文件 。 

min-secs <seconds> 

设置 从 客户 端 试 图 获得 一 个 新 的 租约 开始 到 DHCP 服务 器 回应 客户 端 请 求 时 最 小 的 秒 
数 。 这 个 秒 数 基于 客户 端的 报告 ， 客 户 端 可 以 报告 的 最 大 值 是 255 秒 。 通 常设 置 它 会 导致 
DHCP 服务 器 对 客户 端的 第 一 次 请 求 不 做 回应 ， 但 却 对 其 第 二 次 请 求 回应 。 利 用 这 个 参数 
可 以 设置 一 个 辅助 DHCP 服务 器 ,通常 它 不 对 客户 端 分 配 地 址 ， 如 果 主 服务 器 死机 ， 客 户 
端 就 会 绑 定 到 这 个 辅助 服务 器 上 。 

ping-check [true|falsel] 

当 DHCP 服务 器 准备 动态 分 配 IP 地 址 给 一 个 客户 端 时 ， 如 果 ping-check 设 为 true， 它 
将 首先 发 送 一 个 ICMP Request 请 求 ( 即 ping) 给 这 个 要 分 配 的 地 址 , 然后 等 由 ping-timeout 
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设 定 的 秒 数 。 如 果 没 有 ICMP Echo 信息 返回 ， 它 就 分 配 这 个 地 址 。 如 果 有 返回 信息 ， 就 把 
这 个 地 址 放弃 ， 服 务 器 不 会 给 客户 端 回 应 。 这 个 ping 检查 导致 在 回应 “DHCP Discover” 
消息 时 默认 有 1 秒 钟 的 延迟 ， 这 对 某 些 客户 端 可 能 是 问题 。 可 以 在 这 里 配置 是 否 检查 。 如 
果 这 个 值 设置 为 false， 就 不 进行 ping 检查 。 

以 上 介绍 了 ISC DHCP 配置 中 的 参数 , 部 分 有 关 DDNS 的 参数 介绍 见 13.3.3 节 。 另外， 
当 配 置 语 句 发 生 改 变 时 ， 需 要 重启 dhcpd 服务 才能 生效 。 


全 说 明 : ISC DHCP 服务 器 还 提供 了 一 个 服务 控制 工具 omshell, 它 可 以 与 dhcpd 进行 通信 ， 
了 解 DHCP 服务 器 的 工作 状态 ， 并 在 无 需 停 止 dhcp 服务 的 前 提 下 使 修改 后 的 配 
置 生效 。 使 用 omshell 工具 的 命令 是 /usr/sbin/omshell。 


13.3.2 ”ISC DHCP 配置 的 声明 和 选项 


除了 13.3.1 节 介绍 的 参数 外 , ISC DHCP 配置 中 还 有 一 些 语句 属于 声明 和 选项 。 表 13-2 
和 表 13-3 分 别 列 出 了 部 分 声明 和 选项 。 


表 13-2 1ISC DHCP 配 置 文件 中 的 部 分 声明 (Declarations ) 
声明 名 称 功 能 
定义 一 个 超级 域 ， 可 以 包含 其 他 声明 语句 ， 并 为 它们 设 
置 全 局 参数 
subnet < 子 网 名 > netmask < 子 网 掩 码 > { } | 描述 一 个 IP 地 址 是 否 属于 该 子 网 
range [dynamic-bootp] < 起 始 IP> [终止 P] “| 提供 动态 分 配 IP 的 范围 
每 一 个 BOOTP 客户 都 需要 有 一 个 host 语句 ， 指 明 与 其 


shared-network < 名 称 > { 》} 


host < 主机 名 称 > { } 


相关 的 参数 
group {} 使 某 些 参数 作用 于 一 组 声明 
pool {} 定义 一 个 地 址 池 ， 可 以 为 池 中 的 地 址 规定 特有 的 属性 
[allow | deny] unknown-client 是 否 允许 动态 分 配 卫 给 未 知 的 使 用 者 ， 默 认为 允许 
[allow | deny] bootp 是 否 允许 响应 bootp 查询 ， 默 认为 允许 
只 在 host 语句 中 出 现 ， 表 示 是 否 允 许 该 客户 机 引导 ， 默 
[allow | deny] booting 认为 允许 


表 13-3 ISC DHCP 配置 文件 中 的 部 分 选项 (Options) 


选项 名 称 功 能 
subnet-mask 为 客户 端 设 定子 网 掩 码 
domain-name 为 客户 端 指明 DNS 名 字 
domain-name-servers 为 客户 端 指明 DNS 服务 器 IP 地 址 
host-name 为 客户 端 指定 主机 名 称 
Routers 为 客户 端 设 定 默认 网 关 


为 客户 端 设 定 广播 地 址 
为 客户 端 设 定 网 络 时 间 服 务 器 卫 地 址 
为 客户 端 设 定 和 格林 威 治 时 间 的 偏 移 时 间 ， 单 位 是 秒 


broadcast-address 


ntp-server 


Time-offset 


DHCP 配置 的 基本 思路 是 通过 subnet 语句 定义 子 网 ， 再 通过 shared-network 语句 把 多 
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个 子 网 定义 在 一 个 超级 作用 域 中 .在 每 一 个 子 网 和 超级 作用 域 中 都 可 以 包含 许多 参数 语句 ， 
参数 语句 的 位 置 决 定 了 它们 起 作用 的 范围 。 此 外 ， 还 有 一 些 参数 是 对 全 局 起 作用 的 。 下 面 
通过 例子 介绍 DHCP 的 一 些 常见 的 配置 。 首 先 看 一 个 子 网 配置 的 例子 。 


subnet 192.168.127.0 netmask 255.255.255.0{ # 定义 了 一 个 子 网 192.168.1.0/24 
range 192.168.127.100 192.168.127.200; # 分 配 的 IP 地 址 范围 ， 即 地 址 池 
option domain-name-servers nsl.internal.example.org; # 域名 服务 器 地 址 
option domain-name "internal.example.org"; # 域名 选项 
option routers 192.168.127.1; # 默认 网 关 选 项 
option broadcast-address 192.168.127.255; # 广播 地 址 选项 
default-lease-time 600; # 默认 租约 时 间 
max-lease-time 7200; # 最 大 租约 时 间 

} 


以 上 是 DHCP 服务 器 必 备 的 一 种 基本 配置 。rang 语句 所 定义 的 IP 地 址 范围 必须 要 在 
subnet 所 定义 的 子 网 内 。 同 时 ， 要 求 DHCP 必须 要 有 一 个 网 络 接口 卡 的 地 址 也 在 
192.168.127.0/24 子 网 内 。 和 否则 ，dhcpd 将 不 能 正常 地 启动 。 其 余 的 option 都 是 针对 这 个 子 
网 的 ， 只 在 该 子 网 内 起 作用 ， 它 们 所 定义 的 选项 要 随 IP 地 址 一 起 发 送 给 客户 机 ， 其 功能 见 
注释 。 下 面 再 看 一 个 超级 作用 域 的 配置 例子 。 

shared-network name { # 定义 了 一 个 超级 作用 域 ， 名 为 name 


# 定义 一 个 子 网 10.17.224.0/24 


mn # 为 10.17.224.0/24 设置 的 参数 
subnet 10.17.224.0 netmask 255.255.255.0 { 


option routers rtr-224.example.org; # 默认 网 关 选 项 


、 # 其 他 作用 于 超级 域 的 参数 
subnet 10.0.29.0 netmask 255.255.255.0 { 
# 定义 一 个 子 网 10.0.29.0/24 
图 # 为 10.0.29.0/24 设置 的 参数 
option routers rtr-29.example.org; 
} 
pool { 
allow members of "foo"; 
range 10.17.224.10 10.17.224.250; # 分 配 的 IP 地 址 范围 ， 即 地 址 池 


pool { 
deny members of "foo"; 


range 10.0.29.10 10.0.29.230; # 分 配 的 IP 地 址 范围 ， 即 地 址 池 
} 


以 上 配置 定义 了 名 为 name 的 一 个 超级 作用 域 ， 其 中 包含 了 两 个 子 网。 超级 作用 域 中 
定义 的 参数 语句 同时 作用 于 两 个 子 网 ， 每 一 个 子 网 还 可 以 有 自己 的 参数 语句 。 如 果子 网 中 
定义 了 与 超级 作用 域 同样 的 参数 语句 ， 则 子 网 中 的 参数 语句 定义 的 内 容 将 覆盖 超级 作用 域 
同样 的 参数 语句 所 定义 的 内 容 。 下 面 看 一 个 组 声明 语句 的 例子 下面 配 置 可 以 参考 
/etc/dhcpd.conf 手册 页 )。 


group { 
option routers LT92 1605 L2047 
option subnet-mask 2 
option domain-name "example.com"; 
option domain-name-servers 192. 1600 1 和 
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option time-offset -5 

host apex { 
option host-name "apex.example.com"; 
hardware ethernet 00:A0:78:8E:9E:AA; 
fixed-address 192.168.1.4; 


host raleigh { 
option host-name "raleigh.example.com"; 
hardware ethernet 00:Al1:DD:74:C3:F2; 
fixed-address 192.168.1.6; 
. 
group 组 声明 语句 可 以 把 子 网 、 超 级 作用 域 或 主机 等 组 合 在 一 起 ， 目 的 是 为 了 使 某 些 
参数 对 组 合 中 的 子 网 、 超 级 作用 域 或 主机 起 作用 。 以 上 配置 中 ，host 语句 定义 了 一 台 命 名 
的 客户 机 ， 其 中 列 出 了 主机 名 选项 、 硬 件 类 型 和 地 址 、 固 定 IP 地 址 参数 ， 起 到 了 一 种 IP 
地 址 和 硬件 地 址 绑 定 的 效果 。 例 如 ， 主 机 apex 中 的 配置 表示 以 太 网 卡 地 址 为 
00:A0:78:8E:9E:AA 客户 机 , 将 固定 得 到 IP 地 址 192.168.1.4, 同时 会 得 到 apex.example.com 
的 主机 名 选项 。 但 是 ， 由 于 group 语句 中 还 定义 了 routers 等 其 他 一 些 选 项 ， 因 此 ， 这 些 选 
项 也 将 一 起 发 送 给 apex 主机 。 
另外 ，group 语句 中 除了 放置 host 语句 以 外 ， 还 可 以 放置 subnet 等 语句 。 另 外 ，group 
语句 可 以 放 在 shared-network 等 语句 中 ， 成 为 其 他 语句 的 子 语句 ， 于 是 ， 还 可 能 会 有 更 多 
的 参数 作用 在 它 身 上 。 下 面 再 看 一 个 有 关 地 址 池 〈pool) 的 例子 。 


subnet 10.0.0.0 netmask 255.255.255.0 { 
option routers 10.0.0.254; 


# 未 知 的 客户 机 从 下 面 的 地 址 池 中 分 配置 IP 地 址 
pool { 

allow members of "foo"; 

range 10.17.224.10 10.17.224.250; 


} 
# 已 知 的 客户 机 从 下 面 的 地 址 池 中 分 配置 IP 地 址 
Pool { 
deny members of "foo"; 
range 10.0.29.10 10.0.29.230; 
3 
} 
pool 声明 语句 可 以 为 同一 个 网 段 或 子 网 中 的 部 分 IP 地 址 确定 一 些 特别 的 属性 。 例 如 ， 
一 个 子 网 中 大 部 分 的 IP 希望 分 配给 已 经 注册 的 客户 机 , 但 也 留 一 部 分 给 未 知 的 客户 。 还 有 ， 
如 果 要 求 某 些 IP 地 址 的 客户 机 可 以 访问 外 网 ， 而 某 些 地 址 不 行 , 则 也 可 以 通过 为 不 同 的 地 
址 池 配 置 不 同 的 参数 来 达到 目的 。 
allow 和 deny 语句 可 以 使 DHCP 服务 器 对 不 同 的 请 求 做 不 同 的 响应 ， 根 据 不 同 的 上 下 
文 ， 这 两 个 语句 可 以 有 不 同 的 含义 。 如 果 用 在 pool 语句 内 ， 实 际 上 是 为 地 址 池 建 立 了 一 种 
类 似 于 访问 列表 的 功能 。unknown client 是 指 没 有 用 host 语句 声明 的 客户 机 。 


13.3.3 ”ISC DHCP 的 DDNS 功能 


DDNS (Dynamic Domain Name Server， 动 态 域名 服务 ) 是 将 用 户 的 动态 卫 地 址 映射 
到 一 个 固定 的 域名 解析 服务 上 ， 用 户 每 次 连接 网 络 的 时 候 ， 客 户 端 程序 就 会 通过 网 络 把 用 
户主 机 的 动态 IP 地 址 传送 给 服务 端 程序 ， 服 务 端 程序 负责 提供 动态 域名 解析 。DDNS 是 
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DHCP 服务 和 DNS 服务 的 结合 ， 实 现 动态 更 新 DNS 区 域 数 据 文件 内 容 的 一 项 综合 服务 。 


名 说 明 : 实际 上 ，DDNS 就 是 如 何 为 DHCP 客户 机 在 DNS 区 域 数 据 文 件 中 建立 资源 记录 ， 
并 能 及 时 随 着 DHCP 客户 机 IP 地 址 的 变化 而 动态 更 新 相应 的 资源 记录 。 


在 ISC DHCP 配置 参数 中 ， 提 供 了 以 下 参数 支持 DDNS 功能 。 
配置 1: 


ddns-hostname <name> 


功能 : 设置 客户 机 在 DNS 中 的 主机 名 。 所 指定 的 name 参数 将 被 用 来 在 DNS 区 域 数 
据 文 件 中 设置 客户 机 的 A 和 PTR 记录 。 如 果 没有 ddns-hostname 语句 ， 服 务 器 将 会 自动 使 
用 option host-name 语句 指定 的 主机 名 。 两 种 方法 使 用 不 同 的 算法 更 新 。 

配置 2: 


ddns-domainname <name> 


功能 : 设置 客户 机 在 DNS 中 的 域名 。 所 指定 的 参数 name 参数 是 域名 ， 它 将 被 添加 到 
客户 端 主机 名 的 后 面 ， 形 成 一 个 完整 有 效 的 域名 (FQDN)。 
配置 3; 


ddns-rev-domainname <name> 


功能 : 设置 客户 机 在 DNS 中 的 反 转 域名 。 所 指定 的 name 参数 是 反 转 域名 ， 它 会 添加 
到 反 向 解析 区 域 数 据 文 件 中 , 在 有 关 客户 机 的 PTR 记录 中 产生 一 个 可 用 的 名 字 。 默 认 情 况 
下 ， 它 是 “in-addrarpa.”， 但 是 这 里 可 以 修改 默认 值 。 这 个 反 转 域名 要 添加 在 客户 机 的 反 向 
IP 地 址 后 ， 并 用 “.” 号 分 隔 。 例 如 ， 如 果 客 户 机 得 到 的 IP 地 址 是 10.17.92.74， 那 么 反 向 中 
地 址 就 是 74.92.17.10， 于 是 与 这 个 客户 机 对 应 的 PTR 记录 就 会 是 10.17.92.74.in-addr.arpa。 
配置 4: 


ddns-update-style <style> 


功能 : 指定 DHCP 服务 器 对 DNS 服务 器 进行 更 新 时 采用 的 更 新 类 型 。style 参数 必须 
是 ad-hoc、interim 或 者 为 none。 由 ISC 开发 的 DHCP 服务 器 目前 主要 支持 interim 方式 来 
进行 DNS 的 动态 更 新 ，ad-hoc 方式 基本 上 已 经 不 再 采用 。 因 此 ， 实 际 上 interim 方式 是 目 
前 Linux 环境 下 通过 DHCP 实现 安全 DDNS 更 新 的 唯一 方法 。ddns-update-style 语句 只 在 
全 局 范围 使 用 ， 在 dhcpd 读 入 dhcpd.conf 文件 时 进行 解释 ， 而 不 是 在 每 次 客户 机 获得 地 址 
时 解释 ， 因 此 不 能 为 不 同 的 客户 机 指定 不 同 的 DDNS 更 新 方法 。 

配置 5: 


ddns-updates [on|off] 


功能 : 指定 当 一 个 新 的 租约 被 确认 后 服务 器 是 否 尝试 进行 DNS 更 新 ， 默 认 是 on。 如 
果 希 望 在 某 一 范围 内 不 尝试 进行 更 新 , 则 对 该 范围 可 以 设置 成 off。 如 果 希 望 在 全 部 范围 内 
禁止 DNS 更 新 ， 一 般 不 使 用 这 个 语句 ， 而 是 把 ddns-update-style 语句 的 参数 设置 成 none。 
配置 6: 


do-forward-updates [enable|disable] 
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功能 : 在 客户 机 获得 或 更 新 租约 时 指定 DHCP 服务 器 是 否 尝试 更 新 DHCP 客户 的 A 
记录 。 这 个 语句 在 ddns-updates 为 on， 并 且 ddns-update-style 设置 为 interim 时 才 有 效 。 默 
认 值 是 enable。 如 果 设 为 disable，DHCP 服务 器 将 会 不 再 尝试 更 新 客户 机 的 A 记录 。 但 如 
果 客 户 机 提供 在 PTR 记录 中 使 用 的 FQDN 信息 时 , 服务 器 将 尝试 更 新 客户 端的 PTR 记录 。 
即使 这 个 选项 设 为 enabled，DHCP 服务 器 仍然 会 依照 client-updates 语句 的 设置 进行 更 新 。 

配置 7: 


update-optimization [truelfalsel] 


功能 :对 于 指定 的 客户 机 ， 如 果 该 语句 设 为 false， 则 每 次 在 这 个 客户 机 更 新 租约 时 ， 
服务 器 都 会 为 这 个 客户 尝试 进行 DNS 更 新 ， 而 不 是 服务 器 认为 有 必要 时 才 更 新 。 这 将 使 
DNS 更 容易 保持 数据 的 一 臻 性， 但 DHCP 服务 器 要 做 更 多 次 数 DNS 更 新 。 推 荐 激活 这 个 
功能 ， 这 也 是 默认 的 。 这 个 语句 只 影响 interim 方式 的 DNS 更 新 ， 对 ad-hoc 方式 的 DNS 
更 新 没有 影响 。 如 果 参 数 设 为 tue，DHCP 服务 器 只 在 客户 端 信息 改变 时 进行 更 新 ， 例 如 
客户 端 得 到 了 一 个 不 同 的 租约 ， 或 者 租约 过 期 。 

配置 8: 


update-static-leases [enablel|ldisable] 


功能 ， 当 分 配给 客户 机 的 IP 地 址 是 固定 地 址 时 ， 指 定 DHCP 服务 器 是 否 也 做 DNS 更 
新 ， 只 对 interim 方式 的 DNS 更 新 有 效 。 一 般 不 推荐 使 用 ， 因 为 这 时 DHCP 服务 器 没 办 法 
结束 更 新 ， 地 址 不 使 用 时 也 不 会 删除 记录 。 而 且 ， 服 务 器 必须 在 客户 机 更 新 租约 时 尝试 更 
新 ， 这 在 负载 很 高 的 DHCP 系统 中 造成 了 明显 的 性 能 下 降 。 


13.3.4 ”客户 端 租约 数据 库 文件 dhcpd.lease 


当 dhcpd 进程 运行 时 ， 还 需要 一 个 名 为 dhcpd.leases 的 文件 ， 其 中 保存 所 有 已 经 分 发 
的 IP 地 址 。 在 RHEL 6 中 ， 如 果 通 过 RPM 方式 安装 ISC DHCP， 那 么 这 个 文件 已 经 在 
/varlib/dhcpd 目录 中 存在 。 


全 注意 ! 如 果 dhcpd 进程 运行 时 找 不 到 这 个 文件 ， 将 会 出 错 ， 因 此 ， 还 需要 事先 用 以 下 命 
令 创建 这 个 文件 。 


# touch /var/lib/dhcpd /dhcpd.leases 


通过 配置 文件 中 的 lease-file-name 语句 可 以 改变 dhcpd.leases 文件 的 位 置 和 名 称 。 这 个 
文件 是 一 种 自由 格式 的 ASCII 文件 ， 包 含 了 一 系列 的 租借 声明 。 每 当 一 个 租借 被 允许 、 更 
新 或 释放 时 ， 这 些 新 的 租借 将 会 被 记录 在 这 个 文件 的 后 面 。 因 此 ， 如 果 有 多 个 关于 同一 个 
租借 的 记录 ， 应 该 以 最 后 一 个 为 准 。 

由 于 租借 信息 是 不 断 地 加 到 leases 文件 的 后 面 的 ， 因 此 这 个 文件 将 会 越 来 越 大 。 为 了 
防止 这 个 文件 无 限制 地 增 大 ， 到 了 一 定 的 时 候 ， 需 要 把 这 个 文件 的 内 容 导 入 后 备 的 租借 数 
据 文件 ， 然 后 再 把 租借 信息 重头 开始 写 入 leases 文件 。 这 个 过 程 是 自动 完成 的 ， 与 处 理 一 
般 日 志 时 的 方式 类 似 。 租 借 文件 的 格式 如 下 : 


lease ip-address { statements... } 
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lease 是 一 个 关键 字 ， 表 示 一 条 租借 记录 的 开始 。ip-address 是 一 个 已 被 租借 的 单个 人 P 
地 址 。 花 括号 内 的 statements 可 以 有 多 条 ， 指 明了 该 IP 地 址 租借 给 了 哪个 客户 机 ， 什 么 时 


候 租借 的 ， 什 么 时 候 到 期 等 许多 信息 。 下 面 是 一 个 实际 的 leases 文件 例子 ， 


见 的 statements 。 


lease 172.16.5.198 { 
starts 4 2008/07/10 17:09:53; 
ends 5 2008/07/11 03:09:53; 
binding state active; 
next binding state free; 
hardware ethernet 00:10:66:66: 
uid "\001\000\020fff\372"7 
client-hostname "des001"; 

} 

lease 172.16.4.176 { 
starts 4 2008/07/10 17:11:46; 
ends 5 2008/07/11 03:11:46; 
binding state active; 
next binding state free; 
hardware ethernet 00:e0:18:ac:5d: 
uid "“\001\000\340\030\254] \017"; 
client-hostname "des040"; 

} 

lease 172.16.5.198 { 
starts 4 2008/07/10 17:11:25; 
ends 5 2008/07/11 03:11:25; 
binding state active; 
next binding state free; 
hardware ethernet 00:10:66:66:66: 
uid "“\001\000\020fff\372"; 
client-hostname "des001"; 

下 

lease 172.16.5.252 { 
starts 4 2008/07/10 17:12:22; 
ends 5 2008/07/11 03:12:22; 
binding state active; 
next binding state free; 
hardware ethernet 00:50:da:8e:1b: 
uid "\001\000P\332\216\033\203"; 
client-hostname "acc002"; 

| 


66: 


里 面包 含 了 常 


# IP 地 址 172.16.5.198 的 租借 情况 

# 租约 开始 时 间 

# 租约 结束 时 间 

# 租约 正在 使 用 中 

# 租约 到 期 后 , IP 将 变 为 自由 状态 

fa; ”# 客户 机 网 络 接口 的 类 型 和 MAC 地址 

# 客户 机 的 用 户 名 , 因为 不 能 打印 ,用 八进制 表示 
# 客户 机 的 主机 名 


# IP 地 址 172.16.4.176 的 租借 情况 


Of; 


# IP 地 址 172.16.4.198 的 租借 情况 


fa; 


# IP 地 址 172.16.4.252 的 租借 情况 


83; 


以 上 文件 中 ， 共 有 4 条 租借 记录 ， 其 中 卫 为 172.16.5.198 的 租借 记录 有 两 条 。 这 样 ， 
前 面 的 那 条 是 历史 记录 ， 最 新 情况 应 该 以 后 面 那 条 为 准 。 每 条 记录 的 要 花 插 号 内 均 包含 了 
6 条 语句 ， 说 明了 对 应 IP 地 址 的 租借 情况 ， 具 体 含义 如 下 所 示 。 

starts 和 ends 语句 指出 了 被 租借 的 IP 地 址 的 租 期 ，starts 表示 出 借 时 间 ， 而 ends 表示 
到 期 时 间 。binding state 语句 指出 了 所 租借 的 全 地址 目前 的 状态 , 可 以 是 active 或 free。active 


表示 目前 正在 绑 定 使 


中 ， 而 free 表示 未 被 绑 定 。next binding state 表示 当 租 借 到 期 后 ，IP 


地 址 将 转变 成 什么 状态 ， 也 可 以 是 active 或 free。 


hardware 记录 了 逢 


有 8 借 人 P 地 址 的 客户 机 网 络 接 口 的 类 型 和 硬件 地 址 。ethemet 表示 以 太 
网 卡 ， 后 面 是 48 位 的 MAC 地 址 。uid 记录 了 客户 机 的 标识 符 ， 


它 是 在 提出 租借 请 求 时 发 


送 给 DHCP 服务 器 的 , 但 DHCP 服务 器 并 不 要 求 必须 要 这 样 做 ,uid 的 内 容 可 以 是 字符 串 ， 
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但 如 果 碰 到 不 能 打印 的 字符 时 , 将 用 反 斜 杜 (“\”) 后 跟 3 个 八进制 数 表 示 。client-hostname 
表示 客户 机 的 主机 名 ， 由 host-name 语句 决定 ， 但 是 ， 也 有 很 多 客户 机 并 不 向 服务 器 发 送 
主机 名 ， 此 时 ， 这 一 项 将 不 作 记 录 。 

除了 例子 租借 记录 中 的 语句 外 , 还 有 一 些 其 他 语句 , 其 中 有 一 部 分 是 和 DDNS 有 关 的 ， 
在 此 不 再 作 介绍 ， 有 兴趣 的 读者 可 以 参考 leases 文件 的 手册 页 。 


13.3.5 ”DHCP 中 继 代理 


DHCP 客户 机 需要 通过 网 络 广播 消息 获得 DHCP 服务 器 的 响应 后 得 到 IP 地 址 。 但 在 大 
型 的 网 络 中 ， 可 能 会 存在 多 个 子 网 ， 而 广播 消息 是 不 能 跨越 子 网 的 。 因 此 ， 如 果 DHCP 客 
户 机 和 服务 器 在 不 同 的 子 网 内 ， 客 户 机 将 不 能 向 服务 器 直接 申请 耳 地 址 。 此 时 ， 就 需要 用 
到 DHCP 中 继 代理 。DHCP 中 继 代理 实际 上 是 一 种 软件 技术 ， 它 的 任务 是 为 不 同 子 网 间 的 
DHCP 客户 机 和 服务 器 转发 DHCP 消息 报 文 ， 承担 着 一 种 代理 的 角色 ,安装 了 DHCP 中 继 
代理 的 计算 机 也 称 为 DHCP 中 继 代理 服务 器 。 

下 面 看 中 继 代 理 的 工作 原理 ， 如 图 13-8 所 示 。DHCP 中 继 代 理 服务 器 通过 两 个 网 络 接 
口 分 别 连 在 子 网 1 和 子 网 2 上 ， 子 网 2 上 有 一 台 DHCP 服务 器 。 因 此 ， 子 网 2 上 的 客户 机 
可 以 直接 从 DHCP 服务 器 得 到 IP 地 址 等 网 络 配置 参数 。 但 子 网 1 没有 DHCP 服务 器 ， 为 
了 从 子 网 2 上 的 DHCP 服务 器 得 到 IP 地 址 等 参数 ， 需 要 通过 DHCP 中 继 代理 。 具 体 过 程 
如 图 13-8 所 示 。 


四 4 DHCP Offer 本 
子 网 1 Sy 子 网 2 
DD DHCP Discover 1 DHCP Discover 2) DHCP Discover 
en 


一 


4 DHCP Offer 3) DHCP Offer 
一 | 


5) DHCP Request 6) DHCP Request 


7) DHCP Ack ® DHCP Ack 


DHCP 客 户 机 DHCP 中 继 代 理 DHCP 服 务 器 


图 13-8 DHCP 中 继 代理 工作 过 程 


(1) 子 网 1 上 的 DHCP 客户 端 C 使 用 默认 的 UDP67 号 端口 在 子 网 1 上 以 UDP 协议 
的 数据 报 广播 “DHCP Discover” 消 息 。 

(2) 中 继 代 理 从 UDP67 号 端口 收 到 这 个 UDP 数据 包 后 ， 将 检测 DHCP 消息 报 文中 的 
网 关 IP 地 址 字段 (giaddr)。 如 果 该 字段 的 I 了 P 地 址 是 0.0.0.0， 中 继 代理 会 在 其 中 填 入 自己 
的 耳 地 址 ， 然 后 将 消息 转发 到 子 网 2 的 上 DHCP 服务 器 。 对 于 中 继 代理 来 说 ，DHCP 服务 
器 的 耳 地 址 是 已 知 的 。 因 此 ， 转 发 时 ， 使 用 的 不 是 广播 数据 包 。 

(3) 子 网 2 上 的 DHCP 服务 器 收 到 此 消息 时 ， 它 会 根据 网 关 IP 地 址 字段 确定 从 哪 一 
个 作用 域 分 配 IP 地 址 和 选项 参数 。 

(4) 然后 DHCP 服务 器 向 中 继 代理 回应 “DHCP Offer” 消 息 报 文 ， 里 面包 含 了 它 提供 
的 他 址 和 其 他 选项 参数 。 

(5) 中 继 代理 将 “DHCP Offer” 消 息 报 文 转发 给 DHCP 客户 端 ， 此 时 中 继 代理 仍然 还 
不 知道 客户 机 的 IP 地 址 ， 所 以 使 用 的 是 广播 数据 包 。 
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(6) 最 后 ， 中 继 代理 再 转发 客户 机 给 DHCP 服务 器 的 “DHCP Request” 消 息 报 文 和 
DHCP 服务 器 给 客户 机 的 “DHCP Ack” 消 息 报 文 ， 完 成 卫 地 址 租借 过 程 。 这 两 次 转发 的 
目的 全 地 址 都 是 已 知 的 ， 因 此 使 用 的 都 是 单 播 数据 包 。 

ISC DHCP 提供 了 dherelay 命令 用 于 实现 DHCP 中 继 代理 。 命 令 文 件 在 /usr/sbin 目录 
中 ， 以 RPM 方式 安装 dhcp-4.1.1-31.P1.el6 包 时 ， 该 文件 已 经 自动 安装 。 其 命令 格式 如 下 : 

dhcrelay [ =p Port ] [=d] [=q] {=i if0 [..: =i ifN]】] T=al] 
LL =e count J] [~A length.] 
[-D] [ -m append | replace | forward | discard ] server0 
[ ...serverN ] 
以 上 格式 中 ，server0 是 本 机 能 访问 的 DHCP 服务 器 ,是 必须 要 指明 的 一 个 参数 。 表示 
dhcrelay 收 到 DHCP 消息 包 时 ， 将 转发 到 这 台 DHCP 服务 器 。 


全 注意 ; 可 以 指定 多 台 DHCP 服务 器 ,此 时 dhcrelay 将 根据 情况 选择 其 中 的 一 台 作 为 转发 
目的 地 。 


-p 选项 指定 不 同 的 UDP 端口 作为 接收 DHCP 消息 报 文 的 端口 ， 一 般 在 调试 时 才 做 这 
样 的 指定 ， 默 认 是 67 号 端口 。 

-d 选项 使 dhcrelay 运行 在 前 台 ， 一 般 在 调试 时 使 用 。 正 常情 况 下 ，dhcrelay 启动 时 ， 
在 配置 好 接口 后 将 转 入 后 台 运 行 。 

-q 选项 使 dhcrelay 启动 时 不 在 控制 台 上 打印 网 络 配置 信息 ， 一 般 用 在 启动 脚本 里 。 

-i 选项 指定 dhcrelay 在 哪些 网 络 接口 上 监听 DHCP 消息 报 文 ， 没 有 指明 的 将 被 排除 。 
默认 情况 下 ， 所 有 的 网 络 接口 都 要 监听 ， 即 使 是 与 DHCP 服务 器 通信 的 接口 。 

-a 选项 被 设置 时 ，dhcrelay 在 转发 DHCP 请 求 报 文 前 先 附 加 一 个 代理 选项 域 ， 但 把 报 
文 转 发 给 客户 机 时 又 会 把 这 个 域 去 掉 。 

-Cc 选项 确定 DHCP 消息 报 文 允许 被 转发 的 次 数 。 默 认 值 是 10。 

-A 选项 规定 DHCP 消息 报 文 最 大 的 长 度 。 由 于 每 一 个 DHCP 中 继 都 可 能 会 在 报 文中 
附加 代理 选项 域 ， 因 此 报 文 可 能 会 变 得 很 大 。 

-D 选项 指定 decrelay 丢弃 自己 没有 附加 了 代理 选项 域 的 数据 包 , 这 些 包 是 DHCP 服务 
器 传 给 它 的 ， 再 由 它 传 给 客户 机 的 。 

-m 选项 确定 当 收 到 的 DHCP 消息 报 文 已 经 附加 了 代理 选项 域 时 , decrelay 如 何 处 理 它 。 
可 以 是 附加 上 自己 的 代理 选项 域 (append)、 替 换 原 有 的 代理 选项 域 (replace)、 不 做 任何 
改变 (forward) 或 丢弃 (discard)。 


I 


13.4 小 结 


DHCP 服务 器 的 主要 功能 是 为 网 络 中 的 客户 机 提供 人 P 地 址 及 其 他 网 络 配 置 参数 , 是 比 
较 常用 的 一 种 服务 器 。 本 章 首先 讲述 了 DHCP 协议 的 有 关 情 况 ， 然 后 以 ISC DHCP 服务 器 
软件 为 例 ， 介 绍 了 DHCP 服务 器 的 安装 、 运 行 与 配置 方法 。 
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第 14 章 DNS 服务 器 架设 与 应 用 


DNS (Domain Name System， 域 名 服务 系统 ) 是 Internet 上 最 常用 的 服务 之 一 。 它 是 一 
个 分 布 式 数据 库 ， 组 织 成 域 层 次 结构 的 计算 机 和 网 络 服务 命名 系统 。 通 过 它 人 们 可 以 将 域名 
解析 为 IP 地 址 ,从 而 使 人 们 能 够 通过 简单 好 记 的 域名 来 代替 枯燥 难 记 的 耳 地址 来 访问 网 络 。 
本 章 将 详细 介绍 DNS 服务 的 基本 概念 、 工 作 原理 、BIND 的 运行 、 架 设 和 使 用 方法 。 


14.1 DNS 工作 原理 


DNS 是 一 个 分 布 式 数据 库 ， 它 在 本 地 负责 控制 整个 分 布 式 数据 库 的 部 分 段 ， 每 一 段 中 
的 数据 通过 客户 服务 器 模式 在 整个 网 络 上 均 可 存 取 。 通 过 采用 复制 技术 和 缓存 技术 使 得 整 
个 数据 库 可 靠 的 同时 ， 又 拥有 良好 的 性 能 。 下 面 介绍 DNS 的 工作 原理 及 DNS 协议 的 有 关 
情况 。 


14.1.1 ”名称 解析 方法 


网 络 中 为 了 区 别 各 个 主机 , 必须 为 每 台 主 机 分 配 一 个 唯一 的 地 址 , 这 个 地 址 即 称 为 “IP 
地 址 ”但 这 些 数字 难以 记忆 ， 所 以 就 采用 “域名 ”的 方式 来 取代 这 些 数 字 了 。 不 过 最 终 还 
是 必须 要 将 域名 转换 为 对 应 的 IP 地 址 才能 访问 主机 ， 因 此 需要 一 种 将 主机 名 转换 为 IP 地 
址 的 机 制 。 在 常见 的 计算 机 系统 中 , 可 以 使 用 3 种 技术 来 实现 主机 名 和 IP 地址 之 间 的 转换 : 
Host 表 、 网 络 信息 服务 系统 (NIS) 和 域名 服务 (DNS )。 


1. Host 表 


Host 表 是 简单 的 文本 文件 ， 文 件 名 一 般 是 hosts。 其 中 存放 了 主机 名 和 IP 地 址 的 映射 
关系 ， 计 算 机 通过 在 该 文件 中 搜索 相应 的 条 目 来 匹配 主机 名 和 IP 地 址 。Hosts 文件 中 的 每 
一 行 就 是 一 个 条 目 ， 包 含 一 个 IP 地 址 及 与 该 IP 地 址 相关 联 的 主机 名 。 如 果 和 希望 在 网 络 中 
加 入 、 删 除 主机 名 或 者 重新 分 配 PP 地 址 ， 管 理 员 所 要 做 的 就 是 增加 、 删 除 或 修改 hosts 文 
件 中 的 条 目 ， 但 是 要 更 新 网 络 中 每 一 台 计 算 机 上 的 hosts 文件 。 

在 Internet 规模 非常 小 的 时 候 ， 这 个 集中 管理 的 文件 可 以 通过 FTP 发 布 到 各 个 主机 。 
每 个 Internet 站 点 可 以 定期 地 更 新 其 hosts 文件 的 副本 , 并 且 发 布 主机 文件 的 更 新 版 本 来 反 
映 网 络 的 变化 。 但 是 ， 当 Internet 上 的 计算 机 迅速 增加 时 ， 通 过 一 个 中 心 授 权 机 构 为 所 有 
Intemet 主机 管理 一 个 hosts 文件 的 工作 将 无 法 进行 。 文 件 会 随 着 时 间 的 推移 而 增 大 ， 这 样 
按 当 前 和 更 新 的 形式 维持 文件 以 及 将 文件 分 配 至 所 有 站 点 将 变 得 非常 困难 。 


各 说 明 : 虽然 Host 表 目 前 不 再 广泛 使 用 ， 但 大 部 分 的 操作 系统 依旧 保留 。 
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2. NIS 系统 


将 主机 名 转换 为 IP 地 址 的 另 一 种 方案 是 NIS (Network Information System， 网 络 信息 
系统 )， 它 是 由 Sun Microsystems 开发 的 一 种 命名 系统 。NIS 将 主机 表 替 换 成 主机 数据 库 ， 
客户 机 可 以 从 它 这 里 得 到 所 需要 的 主机 信息 。 然 而 ， 因 为 NIS 将 所 有 的 主机 数据 都 保存 在 
中 央 主 机 上 ， 再 由 中 央 主 机 将 所 有 数据 分 配给 所 有 的 客户 机 ， 以 至 于 将 主机 名 转换 为 卫 时 
的 效率 很 低 。 在 Internet 迅猛 发 展 的 今天 ， 没 有 一 种 办 法 可 以 用 一 张 简单 的 表 或 一 个 数据 
库 为 如 此 众多 的 主机 提供 服务 ， 因 此 NIS 一 般 只 用 在 中 型 以 下 的 网 络 。 


会 说明: NIS 还 有 一 种 扩展 版 本 ， 称 为 NIS+， 提 供 了 NIS 主 计算 机 和 从 计算 机 间 的 身份 
验证 和 数据 交换 加 密 功 能 


3. DNS 系统 


DNS 是 一 种 新 的 主机 名 称 和 IP 地 址 转换 机 制 ， 它 使 用 一 种 分 层 的 分 布 式 数据 库 来 处 
理 Internet 上 众多 的 主机 和 IP 地 址 转换 。 也 就 是 说 ， 网 络 中 没有 存放 全 部 Internet 主机 信 
息 的 中 心 数 据 库 ， 这 些 信息 分 布 在 一 个 层次 结构 中 的 若干 台 域 名 服务 器 上 。DNS 是 基于 客 
户 /服务 器 模型 设计 的 。 本 质 上 ， 整 个 域名 系统 以 一 个 大 的 分 布 式 数据 库 方式 工作 。 具 有 
Intemet 连接 的 企业 网 络 都 可 以 有 一 个 域名 服务 器 , 每 个 域名 服务 器 包含 有 指向 其 他 域名 服 
务 器 的 信息 ， 结 果 是 这 些 服 务 器 形成 了 一 个 大 的 协调 工作 的 域名 数据 库 。 


14.1.2 DNS 组 成 


每 当 一 个 应 用 需要 将 域名 翻译 成 为 IP 地 址 时 ， 这 个 应 用 便 成 为 域名 系统 的 一 个 客户 。 
这 个 客户 将 待 翻译 的 域名 放 在 一 个 DNS 请 求 信息 中 , 并 将 这 个 请 求 发 给 域名 空间 中 的 DNS 
服务 器 。 服 务 器 从 请 求 中 取出 域名 , 将 它 翻译 为 对 应 的 IP 地 址 ， 然 后 在 一 个 回答 信息 中 将 
结果 返回 给 应 用 。 如 果 接 到 请 求 的 DNS 服务 器 自己 不 能 把 域名 翻译 为 IP 地 址 ， 将 向 其 他 
DNS 服务 器 查询 。 整 个 DNS 域名 系统 由 以 下 3 个 部 分 组 成 。 


1. DNS 域名 空间 


指定 用 于 组 织 名 称 的 域 的 层次 结构 ， 它 如 同一 棵 倒立 的 树 ， 层 次 结构 非常 清晰 ， 如 
图 14-1 所 示 。 根 域 位 于 项 部 ， 紧 接着 在 根 域 的 下 面 是 儿 个 顶级 域 , 每 个 顶级 域 又 可 以 进 一 
步 划 分 为 不 同 的 二 级 域 ， 二 级 域 再 划分 出 子 域 ， 子 域 下 面 可 以 是 主机 也 可 以 是 再 划分 的 子 
域 ， 直 到 最 后 的 主机 。 在 Internet 中 的 域 是 由 InterNIC 负责 管理 的 ， 域 名 的 服务 则 由 DNS 
来 实现 。 

2. DNS 服务 器 

DNS 服务 器 是 保持 和 维护 域名 空间 中 数据 的 程序 。 由 于 域名 服务 是 分 布 式 的 ， 每 一 个 
DNS 服务 器 含有 一 个 域名 空间 自己 的 完整 信息 ， 其 控制 范围 称 为 区 (Zone)。 对 于 本 区 内 


的 请 求 由 负责 本 区 的 DNS 服务 器 解释 ， 对 于 其 他 区 的 请 求 将 由 本 区 的 DNS 服务 器 与 负责 
该 区 的 相应 服务 器 联系 。 
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根 域 
com cn edu net 其 他 顶级 域 | ---- 顶级 域 
redhat edu gov 有 二 级 域 
WwWW WwW cetv | 子 域 
Www news | mail 


图 14-1 DNS 域名 空间 


3. 解析 器 


解析 器 是 简单 的 程序 或 子 程序 ， 它 从 服务 器 中 提取 信息 ， 以 响应 对 域名 空间 中 主机 的 
查询 ， 用 于 DNS 客户 端 。 


14.1.3 ”DNS 查询 的 过 程 


当 客户 端 程序 要 通过 一 个 主机 名 称 来 访问 网 络 中 的 一 台 主 机 时 ， 它 首先 要 得 到 这 个 主 
机 名 称 所 对 应 的 IP 地 址 。 因 为 IP 数据 报 中 允许 放置 的 是 目地 主机 的 IP 地 址 ， 而 不 是 主机 
名 称 。 可 以 从 本 机 的 hosts 文件 中 得 到 主机 名 称 所 对 应 的 IP 地 址 ， 但 如 果 hosts 文件 不 能 
解析 该 主机 名 称 时 ， 只 能 通过 向 客户 机 所 设 定 DNS 服务 器 进行 查询 了 。 


且说 明 : 在 UNIX 系统 中 ， 可 以 设置 hosts 和 dns 的 使 用 次 序 。 


可 以 以 不 同 的 方式 对 DNS 查询 进行 解析 。 第 一 种 是 本 地 解析 ， 就 是 客户 端 可 以 使 用 
缓存 信息 就 地 应 答 ， 这 些 缓存 信息 是 通过 以 前 的 查询 获得 的 。 第 二 种 是 直接 解析 ， 就 是 直 
接 由 所 设 定 的 DNS 服务 器 解析 ， 使 用 的 是 该 DNS 服务 器 的 资源 记录 缓存 或 者 其 权威 回答 
(如 果 所 查询 的 域名 是 该 服务 器 管辖 的 )。 第 三 种 是 递归 查询 , 即 设 定 的 DNS 服务 器 代表 客 
户 端 向 其 他 DNS 服务 器 查询 ,以 便 完全 解析 该 名 称 ,并 将 结果 返回 至 客户 端 。 第 四 种 是 过 
代 查 询 ， 即 设 定 的 DNS 服务 器 向 客户 端 返回 一 个 可 以 解析 该 域名 的 其 他 DNS 服务 器 ， 客 
户 端 再 继续 向 其 他 DNS 服务 器 查询 。 


1. 本 地 解析 

本 地 解析 的 过 程 如 图 14-2 所 示 。 客 户 机 平时 得 到 的 DNS 查询 记录 都 保留 在 DNS 缓存 
中 , 客户 机 操作 系统 上 都 运行 着 一 个 DNS 客户 端 程序 。 当 其 他 程序 提出 DNS 查询 请 求 时 ， 
这 个 查询 请 求 要 传送 至 DNS 客户 端 程序 。DNS 客户 端 程序 首先 使 用 本 地 缓存 信息 进行 解 
析 ， 如 果 可 以 解析 所 要 查询 的 名 称 ， 则 DNS 客户 端 程序 就 直接 应 答 该 查询 。 而 不 需要 向 
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DNS 服务 器 查询 ， 该 DNS 查询 处 理 过 程 也 就 结束 了 。 


加 四 巴 


De DNS 服务 缓存 主机 文件 
图 14-2 本 地 解析 


2. 直接 解析 
如 果 DNS 客户 端 程序 不 能 从 本 地 DNS 缓存 回答 客户 机 的 DNS 查询 ， 它 就 向 客户 机 
所 设 定 的 局 部 DNS 服务 器 发 一 个 查询 请 求 ， 要 求 局 部 DNS 服务 器 进行 解析 ， 如 图 14-3 所 
示 。 局 部 DNS 服务 器 得 到 这 个 查询 请 求 , 首先 查看 一 下 所 要 求 查询 的 域名 是 不 是 自己 能 回 
答 的 。 如 果 能 回答 ， 则 直接 给 予 回答 ; 如 是 不 能 回答 ， 再 查看 自己 的 DNS 缓存 。 如 果 可 以 


从 缓存 中 解析 ， 则 也 是 直接 给 予 回应 。 
区 域 数据 
2 
DNS 客户 端 本 部 


DNS 服 务 器 


1 


DNS 服务 缓存 
图 14-3 局 部 DNS 服务 器 解析 


3. 递归 解析 
当局 部 DNS 服务 器 自己 不 能 回答 客户 机 的 DNS 查询 时 ， 它 就 需要 向 其 他 DNS 服务 
器 进行 查询 。 此 时 有 两 种 方式 ， 如 图 14-4 所 示 的 是 递归 方式 。 局 部 DNS 服务 器 自己 负责 
向 其 他 DNS 服务 器 进行 查询 , 一 般 是 先 向 该 域名 的 根 域 服务 器 查询 , 再 由 根 域名 服务 器 一 
级 级 向 下 查询 。 最 后 得 到 的 查询 结果 返回 给 局 部 DNS 服务 器 ， 再 由 局 部 DNS 服务 器 返 


bo 


给 客户 端 。 
有 -一 一- 局 一 
”3 田 ” S 一 
DNS 客户 端 
局 部 号 
DNS 服务 器 (E) 


图 14-4 DNS 解析 的 递归 方式 
4. 迭代 解析 


当局 部 DNS 服务 器 自己 不 能 回答 客户 机 的 DNS 查询 时 ， 也 可 以 通过 友 代 查询 的 方式 
进行 解析 ， 如 图 14-5 所 示 。 局 部 DNS 服务 器 不 是 自己 向 其 他 DNS 服务 器 进行 查询 ， 而 是 


。294 。 


第 14 章 DNS 服务 器 架设 与 应 用 


把 能 解析 该 域名 的 其 他 DNS 服务 器 的 IP 地 址 返回 给 客户 端 DNS 程序 ， 客 户 端 DNS 程序 
再 继续 向 这 些 DNS 服务 器 进行 查询 ， 直 到 得 到 查询 结果 为 止 。 


忆 


根 域 

局 部 

DNS 服务 器 
| Be 一 级 域 
Ee ] 、 SS 
Es ~ 8 -RS 
DNS 客 户 端 二 级 域 
(已 查 到 ) 


图 14-5 DNS 解析 的 迭代 方式 
以 上 介绍 了 DNS 解析 的 4 种 方式 ， 下 面 看 DNS 报 文 的 格式 。 
14.1.4 DNS 报 文 格式 
DNS 客户 端 与 DNS 服务 器 进行 交互 时 ， 需 要 传送 各 种 各 样 的 数据 报 ， 这 些 数据 报 的 
总 体格 式 如 图 14-6 所 示 。DNS 报 文 由 12 字 节 长 的 首部 和 4 个 长 度 可 变 的 字段 组 成 。 标 识 


字段 由 客户 程序 设置 并 由 服务 器 返回 结果 ， 客 户 程序 通过 它 来 确定 响应 与 查询 是 否 匹配 。 
标识 字段 包含 了 以 下 内 容 。 


0 31 
标识 标志 
间 题 数 资源 记录 数 
授权 资源 记录 数 额外 资源 记录 数 

7 查询 问题 了 
回答 

(资源 记录 数 可 变 ) 了 
授权 

0 (资源 记录 数 可 变 ) 1 

额外 信息 
” (资源 记录 数 可 变 ) 1 


图 14-6 DNS 数据 报 的 总 体格 式 


定义 是 查询 报 文 还 是 响应 报 文 ; 

查询 类 型 是 标准 查询 、 反 向 查询 还 是 服务 器 状态 请 求 ; 
是 否 是 权威 回答 ; 

查询 方式 是 递归 查询 还 是 迭代 查询 ; 


OOODO 
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口 是 否 支 持 递归 查询 ; 

口 查询 是 否 有 差错 或 要 查 的 域名 不 存在 。 

问题 部 分 中 每 个 问题 的 格式 如 图 14-7 所 示 , 通常 只 有 一 个 问题 。 查 询 名 是 要 查找 的 名 
字 ， 它 是 一 个 或 多 个 标识 符 的 序列 。 每 个 标识 符 以 首 字 节 的 计数 值 来 说 明 随 后 标识 符 的 字 
节 长 度 ， 每 个 名 字 以 最 后 字 节 为 0 结束 ， 长 度 为 0 的 标识 符 是 根 标 识 符 。 计 数字 节 的 值 必 
须 是 0 一 63 的 数 ， 因 为 标识 符 的 最 大 长 度 仅 为 63。 与 其 他 常用 报 文 格式 不 一 样 的 是 ， 该 字 
段 无 需 以 整 32bit 边界 结束 , 即 无 需 填充 字 节 。 图 14-8 显示 了 如 何 存放 域名 www.wzvtc.cn。 
其 中 ，3、5、2 表示 后 续 字符 的 个 数 。 


查询 名 


查询 类 型 查询 类 


图 14-7 DNS 数据 包 问 题 部 分 格式 


图 14-8 ”域名 www.wzvtc.cn 的 表示 方法 


每 个 问题 都 有 一 个 查询 类 型 ,而 每 个 应 答 (也 称 为 一 条 资源 记录 ) 也 有 一 个 应 答 类 型 。 
大 约 有 20 个 不 同 的 类 型 值 ， 有 一 些 目 前 已 经 过 时 ， 如 表 14-1 所 示 ， 列 出 了 常用 的 一 些 值 。 
其 中 有 两 种 可 以 用 于 查询 类 型 : 一 种 是 A 类 型 ， 表 示 期 望 获得 查询 名 的 IP 地 址 。 另 一 种 
是 PTR 类 型 ， 表 示 请 求 获 得 一 个 IP 地 址 对 应 的 域名 ， 也 称 为 指针 查询 。 查 询 报 文 格式 中 
的 查询 类 通常 是 1， 指 互联 网 地 址 。 


全 注意 某 些 站 点 也 支持 其 他 非 他 地 址 查询 ， 此 时 查询 类 将 是 其 他 数值 。 


表 14-1 DNS 问题 和 响应 的 类 型 值 和 查询 类 型 值 


名 字 服 务 器 邮件 交换 记录 


规范 名 称 2 对 区 域 转换 的 请 求 
指针 记录 忆 对 所 有 记录 的 请 求 


DNS 报 文 一 般 格式 中 的 最 后 3 个 字段 是 回答 字段 、 授 权 字 段 和 附加 信息 字段 ， 它 们 均 
采用 一 种 称 为 资源 记录 RR (Resource Record) 的 相同 格式 。 如 图 14-9 所 示 ， 显 示 了 资源 
记录 的 格式 ， 各 个 字段 的 含义 如 下 所 示 。 

口 域名 是 记录 中 资源 数据 对 应 的 名 字 ， 它 的 格式 和 前 面 介绍 的 查询 名 字段 格式 

(图 14-8) 相同 。 

口 类 型 说 明 RR 的 类 型 码 ， 它 的 值 的 取 值 及 含义 见 表 14-1。 

口 类 通常 为 1， 指 Internet 数据 。 

口 生存 时 间 字 段 是 客户 程序 保留 该 资源 记录 的 秒 数 ， 资 源 记 录 通 常 的 生存 时 间 值 为 

2 和 天。 
口 资源 数据 长 度 说 明 资 源 数据 的 数量 。 
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0 15 16 31 


生存 时 间 


资源 数据 长 度 


图 14-9 DNS 资源 记录 格式 


口 资源 数据 的 格式 依赖 于 类 型 字段 的 值 ， 对 于 类 型 1 (A 记录 ) 资源 数据 是 4 字 节 的 
IP 地 址 。 


14.1.5 ”实际 的 DNS 报 文 数据 


在 客户 机 利用 域名 访问 一 台 主 机 时 ， 首 先 要 向 所 设 的 DNS 服务 器 发 送 查 询 报 文 ， 以 
获得 该 域名 所 对 应 的 IP 地 址 ，DNS 服务 器 要 根据 具体 情况 返回 给 客户 端 应 答 。 下 面 通过 
抓 包工 具 Wireshark 捕获 这 些 数 据 包 ， 并 进行 观察 ， 以 便 更 深入 地 理解 DNS 协议 。 

假设 在 一 台 IP 地 址 为 192.168.0.20 的 客户 机 上 执行 ping mail.benet.com 命令 ， 成 功 执 
行 后 , 用 Wireshark 抓 到 的 数据 包 , 如 图 14-10 所 示 。 在 命令 执行 前 , 先 用 ipconfig /flushdns 
清除 本 地 的 DNS 缓存 ， 否 则 客户 机 有 可 能 不 发 送 DNS 报 文 而 是 直接 从 DNS 缓存 中 得 到 
IP 地 址 。 


He Edt Vew Go Capture Anayze Statstics Telephony Toos Intermas Hep 
各 二 加 其 人 号 人 和 中 了 二 QQDI 醒 国电 其 “ 
Fher ~ ) Erpression.. clear sppW Save 


Time Source inati Protocol Length Info 
5 Es 779922 vmare_c1: 78:fe 300: ARP 42 192. 00 0. 2 i ar 00:0c:29:c1:7 
15 2 2 DN: Ox9db2 是 


4 S D rd auery response Ox9db2 
Bb 115.780733 192. 168. 0. 20 192.168.0.255 92 Name query NB MAIL.BENET.COM<OC 
D 116. 529980 192.168.0.20 192.168.0.255 92 Name query NB MAIL. BENET.COM<0( 
bP 117.280023 192.168.0.20 192.168.0.255 92 Name query NB MAIL,BENET.COM<OC 
Vmware_c0:00:08 42 who has 192.168.0.20? Tel1 192 
Vmware_c1:78:fe 42 192.168.0.20 is at 00:50:56:c0: 
74 Echo (ping) request i 
74 Echo (ping) reply 
‘eques 


a DET net PTOCOCO] Varsion 4 

a User Datagram Protocol, Src Port: 63074 (63074), Dst Port: domain (53 
5 Namain Name Sverom (nuervY 
4 豆 


0000 00 Oc 29 ci 78 fe 00 50 55c00008508004500 
Ff2 d2 c0 a8 00 14 c0 a8 
do 00 00 0 


28 O01 bz: 00 
0030 00 00 00 00 04 61 69 6c 05 62 65 6e 65 ae 
0040 74 03 63 6f 6d 00 00 01 00 01 tc 
© VMware Virtual Ethemet Adapter \Device... | Packets: 193 Deplayed: 193 Marke... | Profie: Defauk 


图 14-10 ”Wireshark 抓 到 的 DNS 数据 包 


从 图 14-10 可 以 看 出 , 客户 机 192.168.0.20 在 ping 一 个 域名 时 ,要 先 通过 DNS 查询 获 
得 该 域名 所 对 应 的 IP 地 址 ， 因 此 向 所 设 的 DNS 服务 器 192.168.0.2 发 送 了 数据 包 7， 可 以 
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看 出 查询 类 型 为 A。DNS 服务 器 192.168.0.2 通过 数据 包 8 告诉 客户 机 ，mail.benet.com 域 
名 所 对 应 的 IP 地 址 是 192.168.0.2。 于 是 ，ping 命令 向 192.168.0.20 发 送 了 数据 包 14、16、 
18、 和 20 这 4 个 ICMP 请 求 ， 而 192.168.0.2 则 通过 15、17、19 和 21 这 4 个 数据 包 进行 
了 回复 。 

从 数据 包 17 还 可 以 看 出 ，DNS 服务 器 返回 了 一 条 CNAME 资源 记录 和 两 条 A 资源 记 
录 , 客户 端 根据 自己 的 算法 取出 了 第 一 条 A 资源 记录 中 所 包含 的 卫 地 址 。 另 外 , 从 图 4-10 
中 所 示 窗 口 的 中 间 部 分 还 可 以 看 出 ，DNS 报 文 是 通过 UDP 协议 发 送 的 ， 服 务 器 的 端口 号 
是 53 号 。 
全 说 明 : 以 上 是 DNS 客户 端 与 服务 器 的 报 文 交互 情况 。 实 际 ，DNS 服务 器 为 了 解析 


mail.benet.comn 域名 ， 可 能 还 需要 与 其 他 DNS 服务 器 进行 交互 ， 这 些 交 互 数据 
包 不 能 在 客户 机 上 捕获 。 


14.2 BIND 的 安装 与 运行 


Bind 是 最 知名 的 域名 服务 器 软件 ， 它 完整 地 实现 了 DNS 协议 规定 的 各 种 功能 。 可 以 
在 各 种 主流 的 操作 系统 平台 上 运行 ， 并 且 被 作为 许多 供应 商 的 UNIX 标准 配置 封装 在 产品 
中 。 下 面 介绍 有 关 Bind 服务 器 软件 的 安装 与 运行 方法 。 


14.2.1 BIND 简介 


Linux 系统 下 架设 DNS 服务 器 通常 是 使 用 Bind 程序 来 实现 的 .Bind 是 Berkeley Internet 
Name Domain Service 的 简写 ， 是 一 款 架 设 DNS 服务 器 的 开放 源 代码 软件 。Bind 原本 是 美 
国 DARPA 资助 伯 克 里 大 学 开设 的 一 个 研究 生 课题 ， 后 来 经 过 多 年 的 变化 发 展 ， 已 经 成 为 
世界 上 使 用 最 为 广泛 的 DNS 服务 器 软件 ， 目 前 Internet 上 绝 大 多 数 的 DNS 服务 器 都 是 用 
Bind 来 架设 的 。 

Bind 经 历 了 第 4 版 、 第 8 版 和 最 新 的 第 9 版 ， 第 9 版 修正 了 以 前 版 本 中 的 许多 错误 ， 
提升 了 执行 时 的 效能 。Bind 能 够 运行 在 当前 大 多 数 的 操作 系统 系统 平台 之 上 。 目前 Bind 
软件 由 ISC (Internet Software Consortium， 因 特 网 软件 联合 会 ) 这 个 非 赢利 性 机 构 负 责 开 
发 和 维护 。ISC 的 官方 网 站 域名 为 http:/www.isc.org/, 包含 了 Bind 的 最 新 错误 修复 和 更 新 。 


14.2.2 BIND 的 获取 与 安装 


在 Red Hat Enterprise Linux 6 下 安装 BIND 服务 器 可 以 有 两 种 方式 ， 一 种 是 源 代码 方 
式 安装 ， 一 种 是 RPM 软件 包 方 式 安 装 。 源 代码 可 以 从 ftp://ftp.isc.org 处 下 载 ， 目 前 最 新 的 
版 本 是 9.9.2 版 ， 文 件 名 是 bind-9.9.2rcl.tar.gz。RHEL 6 自 带 的 BIND 版 本 是 9.8.2 版 , 文 
件 名 是 bind-9.8.2-0.10.rcl.el6.i686.rpm。 

先 看 RPM 方式 安装 。 如 果 安 装 RHEL 6 系统 的 时 候 没有 选择 安装 bind-9.8.2-0.10.rcl1.el6 
包 ， 需 要 从 安装 光盘 把 相应 文件 复制 到 当前 目录 以 后 ， 再 用 以 下 命令 安装 : 


# rpm -ivh bind-9.8.2-0.10.rcl.el16.i686.rpm 


“2 
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如 果 安 装 成 功 ， 会 出 现 以 下 提示 : 


warning: bind-9.8.2-0.10.rcl.el16.1686.rpm: Header V3 RSA/SHA256 Signature, 
key ID fd431d51: NOKEY 


Preparing... 拓 拓 大 大 大 并 拓 拓 闪失 拓 拓 提 拓 并 并 拓 拓 拓 提 提 提 并 并 并 闪失 堪 提 提 提 拓 拓 拓 提 提 间 提 提 提 提 拓 失 
[100%] 

1:bind 排 非 提 非 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 并 提 并 提 提 提 提 提 提 提 提 提 提 提 提 提 间 提 间 间 提 提 # 
[100%] 


再 输入 以 下 命令 ， 可 以 看 到 安装 后 的 文件 分 布 情况 。 
# rpm -ql bind-9.8.2-0.10.rcl.el6 


其 中 比较 重要 的 文件 分 布 如 下 所 示 。 

/etc/re.d/init.d/named: Bind 开机 自动 启动 时 所 用 的 启动 脚本 。 
/usr/sbin/bind-chroot-admin: 启用 或 禁用 chroot 功能 的 命令 。 
/usr/sbin/named: named 进程 的 程序 文件 。 

/usr/sbin/rndc: 远程 控制 named 进程 运行 的 工具 。 

/usr/sbin/rndc-confgen: 产生 rndc 密 钥 的 工具 。 

/usr/share/doc/bind-9.8.2: 该 目录 下 安装 了 BIND 的 帮助 文档 和 例子 文件 。 
/usr/share/man/man5: 该 目录 下 安装 了 BIND 的 手册 页 。 
/usr/share/man/man8: 该 目录 下 也 安装 了 BIND 的 手册 页 。 

/varnamed: Bind 配置 文件 的 默认 存放 目录 〈 不 包含 主 配置 文件 ) 。 
/var/run/named: named 进程 PID 文件 的 存放 目录 。 

named 进程 是 以 named 用 户 的 身份 运行 的 ， 因 此 ， 操 作 系统 中 要 事先 存在 这 个 用 户 。 


全 说 明 : 当 默 认 安 装 RHEL 6 时 ，named 用 户 已 经 创建 ， 如 是 由 于 某 种 原因 该 用 户 不 存在 
了 ， 需 要 重新 创建 。 


如 果 采 用 源 代 码 方 式 安装 , 则 从 ftp://ftp.isc.org/isc/bind9/9.9.2rcl 处 下 载 Bind 的 最 新 版 
9.9.2 版 的 源 代码 文件 bind-9.9.2rcl.targz ， 文 件 复制 到 当前 目录 后 ， 使 用 以 下 命令 进行 
安装 : 

# rpm -e bind-9.8.2-0.10.rcl.el6 ”// 如 果 安 装 了 bind 9.8.2 包 ， 则 先 印 载 

# tar xvzf bind-9.9.2rcl.tar.gz // 解 压 源 代码 文件 包 , 到 bind-9.9.2rcl 目录 中 

# cd bind-9.9.2rcl 

# ./configure 

# make // 编 译 连接 ， 产 生 可 执行 文件 

# make install // 把 文件 安装 到 相应 的 目录 


当 练习 测试 时 ， 可 选择 上 述 两 种 安装 方式 中 的 一 种 。 本 章 后 面 的 例子 是 以 RPM 安装 
方式 为 基础 进行 讲解 的 。 
14.2.3 BIND 的 简单 配置 与 运行 

与 其 他 服务 器 相 比 ，BIND 的 配置 文件 结构 要 复杂 得 多 ， 而 且 在 配置 文件 不 正确 的 
情况 下 ，BIND 将 无 法 运行 。 为 了 使 BIND 能 初步 得 到 运行 ， 下 面 先 提供 一 套 最 简单 的 
配置 文件 ， 使 得 BIND 能 正常 地 运行 起 来 ， 并 具有 初步 的 域名 解析 功能 ， 具 体内 容 的 解 
释 见 14.3 节 。 


DoOOOOOOOODO 
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(1) 在 /etc 目录 下 建立 BIND 的 主 配置 文件 named.conf， 内 容 如 下 所 示 。 


options { 
listen-on port 53 { any; }; 
listen-on-v6 port 53 { ::1; }; 
directory "/var/named"; 
dump-file "/var/named/data/cache dump.db"; 
statistics-file "/var/named/data/named stats.txt"; 
memstatistics-file "/var/named/data/named mem stats.txt"; 
allow-query { any; }; 
recursion yes; 


dnssec-enable yes; 
dnssec-validation yes; 
dnssec-lookaside auto; 


/* Path to ISC DLV key */ 
bindkeys-file "/etc/named.iscdlv.key"; 


managed-keys-directory "/var/named/dynamic"; 


}; 


logging { 
channel default debug { 
file "data/named.run"; 
severity dynamic; 
}; 
1 


zone "." IN { //// 定 义 一 个 名 为 "." 的 区 , 查询 类 为 IN 
type hint; //// 类 型 为 hint 
file "named.ca"; // 区 文件 是 named.ca 


}; 


include "/etc/named.rfcl1912.zones"; 
//include "/etc/named.root.key"; 


其 中 ， 加 粗 的 代码 是 需要 修改 的 内 容 。 可 以 看 出 主 配置 文件 named.conf 里 面具 有 “.” 
区 域 ， 在 代码 中 named.rfc1912.zones， 是 named.conf 的 辅助 区 域 配置 文件 。 意 思 是 除了 根 
域外 , 其 他 所 有 的 区 域 配置 建议 在 named.rfc1912.zones 文件 中 配置 , 主要 是 为 了 方便 管理 ， 
不 会 轻易 破坏 主 配置 文件 named.conf。 这 是 RHEL 6 版 本 跟 RHEL 5 不 同 的 地 方 。 

(2) 在 辅助 区 域 配置 文件 named.rfec1912.zones 中 创建 正 向 反 向 区 域 。 


vi /etc/named.rfc1912.zones 
Zone "benet.com" IN { 
type master; 
file "named.benet.com"; 
allow-update { none; }; 
i 
zone "0.168.192.in-addr.arpa" IN { 
type master; 
file "named.0.168.192"; 
allow-update { none; }; 


}; 


(3) 通过 模版 创建 对 应 的 正 向 反 向 区 域 数 据 库 文件 。BING 数据 库 配 置 文件 在 
/var/named/ 下 。 


# cd /var/named/ 


a 
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# cp -p named.localhost benet.com.zone 
# cp -p named.localhost named.0.168.192 


(4) 创建 并 修改 正 反 向 区 域 数据 库 配 置 文件 。/var/named/named.benet.com 文件 的 内 容 
如 下 : 


# vi named.benet .com 


$TTL 1D 

@ IN SOA @ rname.invalid. ( 
0 7 serial 
1D ; refresh 
1H ; retry 
1W ; expire 
3H ) ; minimum 

benet .com. IN NS www.benet.com. 

benet .com. IN Mx 10 mail 

Www .benet .com. IN A 4192168052 

mail IN A L200 

WwW IN A 192.168.0.2 

oa IN CNAME www 

lib IN A 192.168.0.3 

gsx IN A | 

/varnamed/named.0.168.192 文件 的 内 容 如 下 : 

# vi /var/named/named.0.168.192 

$TTL 1D 

@ IN SOA benet.com rname.invalid. ( 

0 ; serial 
1D ; refresh 
1H FE 
1W ; expire 
3H ) ; minimum 

0.168.192.in-addr .arpa. IN NS www.benet.com. 

2 IN PTR www.benet.com. 

1 IN PTR mail.benet.com. 

EE IN PTR lib.benet.com. 


(5) 用 以 下 命令 启动 named 进程 ， 加 -g 选项 的 目的 是 为 了 显示 启动 过 程 的 详细 信息 ， 
以 便 出 错时 能 及 时 发 现 原因 。 


# /usr/sbin/named -g & 

23-Sep-2012 16:05:19.165 using default UDP/IPv4 port range: [1024, 65535] 
23-Sep-2012 16:05:19.165 using default UDP/IPv6 port range: [1024, 65535] 
23-Sep-2012 16:05:19.184 listening on IPv4 interface lo, 127.0.0.1#53 
23-Sep-2012 16:05:19.186 binding TCP socket: address in use 

23-Sep-2012 16:05:19.187 listening on IPv6 interface lo, ::1#53 
23-Sep-2012 16:05:19.187 binding TCP socket: address in use 

23-Sep-2012 16:05:19.253 ignoring config file logging statement due to -9 
option 

23-Sep-2012 16:05:19.254 zone 0.in-addr.arpa/IN: loaded serial 0 
23-Sep-2012 16:05:19.255 zone 1.0.0.127.in-addr.arpa/IN: loaded serial 0 
23=8ep-2012 16:05s19.256 zone 
LD O00 .0000000a0a0.0.0508050500504050.05000,0.0.0.0 0 ip6narp 
a/IN: loaded serial 0 

23-Sep-2012 16:05:19.261 zone localhost.localdomain/IN: loaded serial 0 
23-Sep-2012 16:05:19.261 zone localhost/IN: loaded serial 023-Sep-2012 
16:05:19.264 running 


(6) 用 以 下 命令 查看 named 进程 是 否 已 正常 启动 。 


# ps -eaflgrep named 


a 
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root 3849 3469 0 18:18 pts/0 00:00:00 /usr/sbin/named -g 
root 3862 3469 0 18:23 pts/0 00:00:00 grep named 
# 


(7) 由 于 DNS 采用 的 是 UDP 协议 ， 监 听 的 是 53 号 端口 ， 可 以 用 下 面 的 命令 进一步 


验证 named 是 否 已 正常 工作 。 


态 的 ， 这 个 端口 主 


# netstat -an | grep :53 


Eep 0 Eh Ur i yd: ele) 0.0.0.0:* LISTEN 
tcp 0 onal O00 Ls 0.0.0.0:* LISTEN 
udp 0 0 0 T02953 O20.505087 
udp 0 Oa OO 0000se 


可 见 ，UDP53 号 端口 已 经 打开 ， 同 时 也 可 以 看 到 ，TCP 的 53 号 端口 也 是 处 于 监听 状 
要 是 用 于 DNS 服务 器 之 间 传 送 域 数 据 。 
(8) 上 述 步骤 完成 后 ， 再 检查 防火 墙 是 不 是 开放 了 TCP 和 UDP 的 53 号 端口 。 如 果 还 


没 开放 ， 可 输入 以 下 命令 打开 。 


#iptables -I INPUT -p tcp --dport 53 -j ACCEPT 
#iptables -I INPUT -p udp --dport 53 -j ACCEPT 


(9) 最 后 ， 可 以 在 本 机 或 网 络 中 的 其 他 计算 机 进行 以 下 测试 “>” 后 面 是 用 户 输入 的 


内 容 )。 


C:\ >nslookup 
Default Server: www.benet.com 
Address: 192.168.0.2 # 原来 默认 的 DNS 服务 器 是 192 .168 .0.2 


> www.benet.com # 查询 www.benet .com 的 IP 地 址 
Server: www .benet .com 
Address: 192.168.0.2 


Name: WWww .benet. com 
Address: 192.168.0.2 # DNS 服务 器 回复 www.benet .com 的 IP 地 址 是 192.168.0.2 
> mail.benet.com # 再 查询 mail .benet.com 的 IP 地 址 


Server: www.benet .com 
Address: 192.168.0.2 


Name: mail.benet .com 
Address: 192.168.0.1 # DNS 服务 器 回复 mail .benet .com 的 IP 地 址 是 192.168.0.1 


> www.baidu.cn # 查询 其 他 域 的 域名 www.baidu.cn 
Server: wwwbenetcom 
Address: 192.168.0.2 


Non-authoritative answer: # 表示 是 非 权威 的 回答 

Name : www.a.shifen.com 

Rddresses: 220.181.6.18，220.181.6.19  # DNS 服务 器 回复 www.baidu.cn 的 IP 地 
址 , 有 两 个 

Aliases: www.baidu.cn, www.baidu.com 

> exit 

Cr 


从 以 上 测试 可 以 看 出 ，DNS 已 经 能 正常 地 工作 ， 能 解析 benet.com 区 中 的 域名 ， 还 能 


"302。 
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通过 其 他 的 DNS 服务 器 解析 互联 网 上 的 所 有 域名 。 
14.2.4 ”chroot 功能 


chroot 是 Change Root 的 缩写 ， 它 可 以 将 文件 系统 中 某 个 特定 的 子 目 录 作 为 进程 的 虚 
拟 根 目录 ， 即 改变 进程 所 引用 的 “/” 根 目录 位 置 。chroot 对 进程 可 以 使 用 的 系统 资源 、 用 
户 权限 和 所 在 目录 进行 严格 控制 ， 程 序 只 在 这 个 虚拟 的 根 目录 及 其 子 目 录 具 有 权限 。 一 旦 
离开 该 目录 就 没有 任何 权限 了 ， 所 以 也 将 chroot 称 为 “jail 监禁 ”。 


全 说 明 : 在 Vsftpd 服务 器 架设 中 , 也 有 几 个 关于 chroot 的 配置 选项 。 可 以 把 操作 系统 中 的 
某 一 个 目录 (通常 是 该 用 户 的 主 目录 ) 作为 用 户 的 根 目 录 ,， 用 户 登 录 到 FTP 服务 
器 时 ， 看 到 的 根 目 录 并 不 是 服务 器 上 真正 的 根 目 录 ， 而 是 其 他 目录 。 用 户 不 能 访 
问 除 这 个 目录 以 外 的 任何 文件 ， 即 把 用 户 监 禁 在 某 一 目录 中 ， 用 户 的 任何 操作 仅 
对 这 个 目录 有 效 ， 不 会 影响 到 系统 和 其 他 用 户 的 文件 。 


早期 Linux 服务 都 是 以 root 权限 启动 和 运行 的 。 随 着 技术 的 发 展 ， 各 种 服务 变 得 越 来 
越 复杂 ， 导 致 BUG 和 漏洞 也 越 来 越 多 。 黑 客 利用 服务 的 漏洞 入 侵 系 统 ， 就 能 获得 root 级 
别 的 权限 ， 从 而 可 以 控制 整个 系统 。 为 了 减缓 这 种 攻击 所 带 来 的 负面 影响 ， 现 在 的 服务 器 
软件 通常 设计 成 以 root 权限 启动 ， 然 后 服务 器 进程 自行 放弃 root 权限 ， 再 以 某 个 低 权限 的 
系统 账号 来 运行 进程 。 这 种 方式 的 好 处 在 于 该 服务 被 攻击 者 利用 漏洞 入 侵 时 ， 由 于 进程 权 
限 比较 低 ， 攻 击 者 得 到 的 访问 权限 是 基于 这 个 较 低 权限 的 ， 因 此 对 系统 造成 的 危害 比 以 前 
减轻 了 许多 。 

基于 同样 的 道理 ，chroot 的 使 用 并 不 能 说 是 让 程序 本 身 更 安全 了 ， 它 跟 没有 chroot 的 
程序 比较 ， 依 然 有 着 同样 多 的 bug 和 漏洞 ， 依 然 会 被 攻击 者 利用 这 些 bug 和 漏洞 进行 攻击 
得 逮 。 但 由 于 程序 本 身 的 权限 被 严格 限制 了 ， 因 此 攻击 者 无 法 造成 更 大 的 破坏 ， 也 无 法 
夺取 操作 系统 的 最 高 权限 。DNS 服务 器 主要 是 用 于 域名 解析 ， 需 要 面 对 来 自 网 络 各 个 位 置 
的 大 量 访问 ， 并 且 一 般 不 限制 来 访 者 的 耳 ， 因 此 ， 存 在 的 安全 隐患 和 被 攻击 的 可 能 性 相当 
大 ， 使 用 chroot 功能 也 就 特别 地 有 意义 了 。 

在 Red Hat Enterprise Linux 6 下 , chroot 的 安装 包 文 件 名 为 bind-chroot-9.8.2-0.10.rc1.e16. 
i686.rpm， 在 安装 盘 中 。 把 安装 文件 复制 到 当前 目录 后 ， 输 入 以 下 命令 进行 安装 。 


# rpm -ivh bind-chroot-9.8.2-0.10.rcl.e16.i686.rpm 


当成 功 安装 chroot 后 ，named 的 虚拟 根 目 录 变 为 /varnamed/chroot， 即 以 后 运行 named 
进程 时 ,会 把 这 个 目录 当 作 根 目录 。 同 时 ， 这 个 虚拟 根 目 录 下 还 自动 创建 了 dev、etc 和 var 
3 个 目录 ， 分 别 对 应 实际 根 目录 下 的 同名 目录 。 另 外 ， 安 装 chroot 时 ， 还 会 自动 把 实际 根 
目录 下 的 这 3 个 目录 中 的 配置 文件 都 复制 到 虚拟 根 目 录 下 对 应 的 3 个 目录 中 ， 例 如 ， 
/etc/named.conf 会 复制 到 /var/named/chroot/etc。 因 此 ， 以 后 编辑 named 的 配置 文件 时 ， 要 
注意 其 存放 的 目录 位 置 。 


14.2.5 ”使 用 rndc 


mdc 是 BIND 安装 包 提供 的 一 种 控制 域名 服务 运行 的 工具 ， 它 可 以 运行 在 其 他 计算 机 
上 ， 通 过 网 络 与 DNS 服务 器 进行 连接 ， 然 后 根据 管理 员 的 指令 对 named 进程 进行 远程 控 
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制 。 此 时 ， 管 理 员 不 需要 DNS 服务 器 的 根 用 户 权限 。 
使 用 rmnde 可 以 在 不 停止 DNS 服务 器 工作 的 情况 下 进行 数据 的 更 新 ， 使 修改 后 的 配置 
文件 生效 。 在 实际 情况 下 ，DNS 服务 器 是 非常 繁忙 的 ， 任 何 短 时 间 的 停顿 都 会 给 用 户 的 使 
带 来 影响 。 因 此 ， 使 用 mdec 工具 可 以 使 DNS 服务 器 更 好 地 为 用 户 提供 服务 。 

mdec 与 DNS 服务 器 实行 连接 时 ， 需 要 通过 数字 证 书 进行 认证 ， 而 不 是 传统 的 用 户 名 / 
密码 方式 。 在 当前 版 本 下 ，rndc 和 named 都 只 支持 HMAC-MD5 认证 算法 ， 在 通信 两 端 使 
日 共享 密 钥 。rndc 在 连接 通道 中 发 送 命令 时 ， 必 须 使 用 经 过 服务 器 认可 的 密 钥 加 密 。 为 了 
生成 双方 都 认可 的 密 钥 ， 可 以 使 用 rndc-confgen 命令 产生 密 钥 和 相应 的 配置 ， 再 把 这 些 配 
置 分 别 放 入 named.conf 和 mdc 的 配置 文件 mdc.conf 中 ， 有 具体 操作 步骤 如 下 所 示 。 
(1) 执行 mdc-confgen 命令 ， 得 到 密 钥 和 相应 的 配置 。 
# rndc-confgen 
# Start of rndc.conf 
key "rndc-key" { 


algorithm hmac-md5; 
secret "St+2mvylubipGETPKpx37Eg=="; 


8 


options { 
default-key "rndc-key"; 
default-server 127.0.0.1; 
default-port 953; 


; 


End of rndc.conf 


Use with the following in named.conf, adjusting the allow list as needed: 
key "rndc-key" { 

algorithm hmac-md5; 

secret "St+2mvylubipGETPKpx37Eg=="; 


} 

# 

# 

# 

# 

# 
5 
# 

# controls { 

# inet 127.0.0.1 port 953 

# allow (127 0:0517) kevye ll “rndc=kevy J 
Rh 

# End of named.conf 


(2) 在 /etc 目录 下 创建 mdc.conf 文件 ， 根 据 提示 输入 上 述 输出 中 不 带 注释 的 内 容 。 


# vi /etc/rndc.conf 
key "rndckey" { 

algorithm hmac-md5; 

secret "TKuaJSEo58zohJBfrdF7dQ=="; 
hy 


options { 

default-key "rndckey"; 
default-server 127.0.0.1; 
default-port 953; 

}; 


(3) 根据 提示 ， 把 下 列 内 容 放 入 原 有 的 /etc/named.conf 文 件 后 面 。 


key "rndckey" { 
algorithm hmac-md5; 
Secret "TKuaJSEo58zohJBfrdF7dQ=="; 
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}; 


controls { 
inet 127.0.0.1 port 953 
allow { 127.0.0.1; } keys { "rndckey"; }; 
1 


(4) 重启 named 进程 后 ， 就 可 以 使 用 rndc 工具 对 named 进行 控制 了 。 例 如 ， 下 面 的 


命令 可 以 使 named 重新 装载 配置 文件 和 区 文件 。 


# rndc reload 
SerVer reload successful 


# 
此 外 ， 所 有 rnde 支持 的 命令 及 帮助 信息 可 以 通过 不 带 参数 的 mdc 命令 显示 。 
[root@localhost named]# rndc 


Usage: rndc [-c config] [-s server] [-p port] 
[-k key-file ] [-Y key] [-V] command 


command is one of the following: 
reload Reload configuration file and zones. 
reload zone [class [view]] 


statusDisplay status of the server. 

recursing Dump the queries that are currently recursing 
(named.recursing) 

*restart Restart the server. 


* == not yet implemented 
Version: 9.8.2rcl-RedHat-9.8.2-0.10.rcl.el6 


可 以 看 到 , rndce 提供 了 非常 丰富 的 命令 , 可 以 让 管理 员 在 不 重启 named 进程 的 情况 下 ， 
完成 大 部 分 DNS 服务 器 管理 工作 。 


会 说明: rmdc 命令 后 面 可 以 跟 “-s” 和 “-p” 选 项 连接 到 远程 DNS 服务 器 ， 以 便 对 远程 
DNS 服务 器 进行 管理 ， 但 此 时 双方 的 密 钥 要 一 致 才 能 正常 连接 。 


14.3 BIND 的 配置 


14.2 节 提 供 了 一 个 简单 的 配置 例子 ， 使 得 BIND 运行 后 具有 初步 的 DNS 服务 器 功能 。 
本 节 先 详细 解释 各 种 配置 选项 的 含义 , 再 通过 几 个 例子 使 读者 能 配置 相对 复杂 的 DNS 服务 
器 。 与 其 他 服务 器 不 同 的 是 ，BIND 配置 需要 较 多 的 配置 文件 ， 而 不 是 所 有 的 配置 都 集中 
在 一 个 配置 文件 里 ， 因 此 相对 要 复杂 些 。 
14.3.1 BIND 的 主 配置 文件 

BIND 主 配 置 文件 由 named 进程 运行 时 首先 读 取 ， 文 件 名 为 named.conf， 默 认 在 /etc 
目录 下 。 该 文件 只 包括 Bind 的 基本 配置 ， 并 不 包含 任何 DNS 的 区 域 数据 。 安 装 DNS 服务 
后 , 安装 程序 不 会 自动 生成 /etc/named.conf 文件 , 用 户 需 要 自行 创建 或 将 /usr/share/doc/bind- 
9.8.2/sample/etc/named.conf 范本 文件 复制 为 /etc/named.conf。 


aya 
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named.conf 配置 文件 由 诸 名 与 注释 组 成 ， 每 一 条 主 配置 语句 均 有 自己 的 选项 参数 。 这 
些 选 项 参数 以 子 语句 的 形式 组 成 ， 并 包含 在 花 括 号 内 ， 作 为 主语 名 的 组 成 部 分 。 每 一 条 语 
句 ， 包 括 主语 名 和 子 语句 ， 都 必须 以 分 号 结尾 。 注 释 符号 可 以 使 用 类 似 于 C 语言 中 的 块 注 


释 “/*” 和 “sj/” 符 


如 表 14-2 所 示 。 


号 对 ， 以 及 行 注释 符 “/ ”或 “#”。BIND 9 支持 的 主 配置 语句 及 功能 


表 14-2 BIND 9 主 配置 语句 名 称 


主 配置 语句 名 称 功 能 
acl 定义 一 个 访问 控制 列表 ， 用 于 以 后 对 列表 中 的 IP 进行 访问 控制 
controls 定义 有 关 本 地 域名 服务 器 操作 的 控制 通道 ， 这 些 通道 被 mdc 用 来 发 送 控制 命令 
include 把 另 一 个 文件 中 的 内 容 包 含 进来 做 为 主 配 置 文件 的 内 容 
key 义 一 个 密 匙 信息 ， 用 于 通过 TSIG 进行 授权 和 认证 的 配置 中 
logeging 设置 日 志 服 务 器 ， 以 及 日 志 信息 的 发 送 位 置 
options 设置 DNS 服务 器 的 全 局 配置 选项 
server 定义 了 与 远程 服务 器 交互 的 规则 
trusted-keys 定义 信任 的 DNSSED 密 匙 
View 定义 一 个 视图 
Zone 定义 一 个 区 域 
1. acl 语句 


acl 主 配置 语句 用 于 定义 一 个 命名 的 访问 列表 ， 里 面包 含 了 一 些 用 IP 表示 的 主机 ， 这 
个 访问 列表 可 以 在 其 他 语句 使 用 ， 表 示 其 所 定义 的 主机 。 其 格式 如 下 : 


acl acl-name 


1 


address match list 


Di 


address_match_list 表示 IP 地 址 或 IP 地址 集 。 其 中 ，none、any、localhost 和 localnets 
这 4 个 内 定 的 关键 字 有 特别 含义 ， 分 别 表 示 没 有 主机 、 任 何 主机 、 本 地 网 络 接口 P 和 本 地 
子 网 了 了 了。 具体 的 例子 如 下 所 示 。 


acl "someips" { // 定 义 一 个 名 为 someips 的 ACL 
DOO OL 92 168 :23 1; T920168-23 157 /7/ 包 合 33 个 单个 2 


}; 


acl "complex" { // 定 义 一 个 名 为 complex 的 ACL 
"someips"; // 可 以 包含 其 他 ACL 
10.0.15.0/24; // 包 含 10.0.15.0 子 网 中 的 所 有 IP 
!110.0.16.1/24; // 非 10.0.16.1 子 网 的 IP 
{ONO ITIS ON OL 2 // 包 含 了 一 个 IP 组 
localhost:; // 本 地 网 络 接口 IP ( 含 实际 接口 ITP 和 127.0.0.1) 


1 


zone "example.com" { 


type slave; 


file "slave.example.com"; 


allow-notify {"complex";}; // 在 此 处 使 用 了 前 面 定义 的 complex 访问 列表 


| 
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2. controls 语句 


controls 主语 句 定义 有 关 本 地 域名 服务 器 操作 的 控制 通道 ， 这 些 通道 被 mdc 用 来 发 送 
控制 命令 。 在 上 一 节 的 例子 named.conf 配置 文件 中 有 以 下 语句 ， 现 解释 如 下 : 


controls { 
inet 127.0.0.1 port 953 // 在 127.0.0.1 接口 的 953 号 端口 进行 监听 
Bow 1 127 4 0800 1] // 只 接受 127 .0.0.1 的 连接 即 只 有 在 本 机 使 用 rndc 
// 才 能 对 named 进行 控制 
keys { "rndckey"; }; // 使 用 名 为 rndckey 的 密 钥 才能 访问 


}; 


3. include 语句 


include 主语 句 表示 把 另 一 个 文件 的 内 容 包含 进来 ， 作 为 named.conf 文件 的 配置 内 容 ， 
其 效果 与 把 那个 文件 的 内 容 直接 输入 named.conf 时 一 样 。 之 所 以 这 样 做 ， 一 是 为 了 简化 一 
些 分 布 式 的 named.conf 文件 的 管理 ， 此 时 ， 每 个 管理 员 只 负责 自己 所 管辖 的 配置 内 容 ; 
是 为 了 安全 ， 因 为 可 以 把 一 些 密 钥 放 在 其 他 文件 ， 不 让 无 关 的 人 查看 。 


4. key 语句 


key 主语 句 定义 一 个 密 匙 ,用 于 TSIG 授权 和 认证 。 它 主要 在 与 其 他 DNS 服务 器 或 rndc 
工具 通信 时 使 用 ， 可 以 通过 运行 mndc-confgen 命令 产生 。 在 14.2.5 节 的 例子 named.conf 配 
置 文件 中 有 以 下 语句 ， 现 注释 如 下 : 
key "rndckey" { // 定 义 一 个 密 钥 ， 名 为 rndckey 
algorithm hmac-md5; // 采 用 hmac-md5 算法 , 这 也 是 目前 唯一 支持 的 加 密 算法 


secret "TKuaJSEo58zohJBfrdF7dQ==";  ”// 密 钥 的 具体 数据 
}; 


5. logging 语句 
logging 是 有 关 日 志 配 置 的 主语 句 ， 可 以 有 众多 的 子 语句 ,指明 了 日 志 记 录 的 位 置 、 日 


志 的 内 容 、 日 志文 件 的 大 小 和 日 志 的 级 别 等 内 容 。 下 面 是 一 个 典型 的 日 志 语句 内 容 。 


logging{ 
channel simple 1og { // 定 义 一 个 名 为 simple 1og 的 日 志 通 道 。 可 以 定义 多 个 通道 ,每 
// 个 通道 代表 一 种 日 志 
file "/var/log/named/bind.log" versions 3 
// 该 日 志 记 录 在 /var/1o0g/named/bind.1og 文件 中 ,版 本 号 为 3 


size 5m; // 文 件 的 大 小 是 5MB, 超过 5MB 时 ,会 以 bing.1og .1 的 名 字 备 份 起 来 
severity warning; // 高 于 或 等 于 warning 级 别 的 日 志 才 被 记录 
print-time yes; // 日 志 记 录 包 含 时 间 域 


print-severity yes; // 日 志 记 录 包 含 日 志 级 别 域 
print-category yes; // 日 志 记 录 包 含 日 志 分 类 域 
}; 
category default{ // 所 有 的 分 类 都 记录 到 simple 1og 日 志 通 道中 
simple log; 
}; 
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6. options 语句 


options 语句 设 定 可 以 被 整个 BIND 使 用 的 全 局 选项 。 这 个 语句 在 每 个 配置 文件 中 只 有 
一 处 ， 如 果 出 现 多 个 options 语句 ， 则 第 一 个 options 的 配置 有 效 ， 并 且 会 产生 一 个 警告 信 
息 。 如 果 没 有 options 语句 ， 每 个 子 语句 使 用 默认 值 。options 选项 的 子 语句 很 多 ， 下 面 先 
解释 在 14.2.3 节 的 例子 主 配置 文件 中 出 现 的 子 语句 。 

口 directory: 指定 服务 器 的 工作 目录 。 配 置 文件 其 他 语句 中 所 使 用 的 相对 路 径 ， 指 的 

都 是 在 这 个 子 语句 指定 的 目录 下 。 大 多 数 的 输出 文件 默认 时 也 生成 在 这 个 目录 下 。 
如 果 没 有 设 定 ， 工 作 目 录 默 认 设 置 为 服务 器 启动 时 的 目录 。 指 定 目录 时 ， 应 该 以 
绝对 路 径 表示 。 

口 pid-file: 设 定 进程 PID 文件 的 路 径 名 ， 如 果 没 有 指定 ， 默 认为 /var/run/named.pid。 

因此 ， 此 时 要 注意 运行 进程 的 用 户 named 对 该 日 录 要 有 写 入 的 权限 ， 否 则 ，named 
将 不 能 正常 启动 。pid-file 是 给 那些 需要 向 运行 着 的 服务 器 发 送信 号 的 程序 使 用 的 。 

口 forwarders: 设 定 转发 使 用 的 IP 地 址 。 该 子 语句 只 有 在 forward 设置 成 允许 转发 后 
才 生 效 ， 默 认 的 列表 是 空 的 ， 表 示 不 转发 。 转 发 也 可 以 设置 在 每 个 域 中 ， 这 样 全 
局 选项 中 的 转发 设置 就 不 会 起 作用 了 。 用 户 可 以 将 不 同 的 域 转发 到 不 同 的 其 他 
DNS 服务 器 上 ， 或 者 对 不 同 的 域 实现 forward only 或 first 的 不 同方 式 ， 也 可 以 选 
择 根本 就 不 转发 。 

口 allow-query: 主语 句 用 于 设 定 DNS 服务 器 为 哪些 客户 机 提供 DNS 查询 服务 , 可 以 
在 后 面 的 花 括 号 内 放置 命名 的 ACL 或 address_match list，any 表示 任何 主机 都 可 
以 访问 。allow-query 也 能 在 zone 语句 中 设 定 ， 这 样 全 局 options 中 的 allow-query 
选项 在 zone 中 就 不 起 作用 了 。 默 认 时 是 允许 所 有 主机 进行 查询 。 


7. server 语句 


server 主语 句 定义 了 与 远程 服务 器 交互 的 规则 , 例如， 决定 本 地 DNS 服务 器 是 作为 主 
域名 服务 器 还 是 辅 域名 服务 器 ,以 及 与 其 他 DNS 服务 器 通信 时 采用 的 密 钥 等 。 语句 可 以 出 
现在 配置 文件 的 顶层 ， 也 可 以 出 现在 视图 语句 的 内 部 。 如 果 一 个 视图 语句 包括 了 自己 的 
server 语句 ， 则 只 有 那些 视图 语句 内 的 server 语句 才 起 作用 ， 顶 层 的 server 语句 将 被 忽略 。 
如 果 一 个 视图 语句 内 不 包括 server 语句 ， 则 顶层 server 语句 将 被 当做 默认 值 。 


8. trusted-keys 语句 


trusted-keys 语句 定义 DNSSEC 安全 根 的 trusted-keys。DNSSEC 指 由 RFC2535 定义 的 
DNS sercurity。 当 一 个 非 授权 域 的 公 钥 是 已 知 的 ， 但 不 能 安全 地 从 DNS 服务 器 获取 时 ， 需 
要 加 入 一 个 trusted-keys。 这 种 情况 一 般 出 现在 singed 域 是 一 个 非 signed 域 的 子 域 的 时 候 ， 
此 时 加 了 trusted key 后 被 认为 是 安全 的 。trusted-keys 语句 能 包含 多 重 输入 口 , 由 键 的 域名 、 
标志 、 协 议 算法 和 64 位 键 数 据 组 成 。 


9. view 语句 
view 语句 定义 了 视图 功能 。 视 图 是 BIND 9 提供 的 强大 的 新 功能 ， 允 许 DNS 服务 器 根 


二 
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据 客户 端的 不 同 有 区 别 地 回答 DNS 查询 ， 每 个 视图 定义 了 一 个 被 特定 客户 端子 集 见 到 的 
DNS 名 称 空间 。 这 个 功能 在 一 台 主 机 上 运行 多 个 形式 上 独立 的 DNS 服务 器 时 特别 有 用 。 


10. zone 语句 


zone 语句 定义 了 DNS 服务 器 所 管理 的 区 ， 也 就 是 哪 一 些 域 的 域名 是 授权 给 该 DNS 服 
务 器 回答 的 。 一 共有 5 种 类 型 的 区 ， 由 其 type 子 语 名 指定， 具体 名 称 和 功能 如 下 所 示 。 

口 Master ( 主 域 ) : 主 域 用 来 保存 某 个 区 域 (如 www.wzvtc.cn) 的 数据 信息 。 

口 Slave〈 辅 域 ) : 也 叫 次 级 域 ， 数 据 来 自主 域 ， 起 备份 作用 。 

口 Stub: Stub 区 与 辅 域 相似 ， 但 它 只 复制 主 域 的 NS 记录 ， 而 不 是 整个 区 数据 。 它 不 
是 标准 DNS 的 功能 ， 只 是 BIND 提供 的 功能 。 

口 Forward (转发 ) : 转发 域 中 一 般配 置 了 forward 和 forwarders 子 句 ， 用 于 把 对 该 
域 的 查询 请 求 转 由 其 他 DNS 服务 器 处 理 。 

口 Hint: Hint 域 定义 了 一 套 最 新 的 根 DNS 服务 器 地 址 ， 如 果 没 有 定义 ，DNS 服务 器 
会 使 用 内 建 的 根 DNS 服务 器 地 址 。 

在 14.2.3 节 的 例子 named.rfe1912.zones 配置 文件 中 有 以 下 语句 ， 现 解释 如 下 : 


zone "benet.com" IN { // 定 义 一 个 名 为 benet .com 的 区 , 查询 类 为 IN 
type master; // 类 型 为 master 
file "named.benet.com "; // 区 文件 是 named.benet .com 
allow-update { none; }; // 不 允许 任何 客户 端 对 数据 进行 更 新 

Ha 


zone "0.168.192.in-addr.arpa" IN { 
// 定 义 一 个 名 为 0.168 .192.in-addr.arpa 的 区 ,查询 类 为 IN 
type master; // 类 型 为 master 
file "named.0.168.192"; // 区 文件 是 named.0.168.192 
allow-update { none; }; // 不 允许 任何 客户 端 对 数据 进行 更 新 
用 


全 说 明 : 在 每 一 个 zone 语句 中 ， 都 用 file 子 语 句 定义 一 个 区 文件 ， 这 个 文件 里 存放 了 域名 
与 IP 地 址 的 对 应 关系 。14.3.3 节 将 对 区 文件 进行 详细 解释 。 


14.3.2 ” 根 服 务 器 文件 named.root 


在 主 配 置 文件 /etc/named.conf 中 ， 定 义 了 一 个 根 域 ， 区 文件 是 /var/named 目录 下 的 
named.ca 文件 。 它 是 一 个 非常 重要 的 文件 ， 包 含 了 Internet 根 服务 器 的 名 字 和 IP 地 址 。 当 
Bind 接 到 客户 端的 查询 请 求 时 ， 如 果 本 地 不 能 解释 ， 也 不 能 在 Cache 中 找到 相应 的 数据 ， 
就 会 通过 根 服务 器 进行 逐 级 查询 。 

例如 ， 当 服务 器 收 到 DNS 客户 机 的 一 个 查询 请 求 ， 要 求 查询 一 个 不 在 本 域 的 
www.example.com 域名 时 ， 如 果 Cache 里 没有 相应 的 数据 ，DNS 服务 器 就 会 向 named.root 
文件 中 列 出 的 Internet 根 服务 器 请 求 ， 然 后 根 服务 器 将 查询 交 给 负责 域 .com 的 授权 名 称 服 
务 器 ， 域 .com 授权 名 称 服务 器 再 将 请 求 交 给 负责 域 example.com 的 授权 名 称 服务 器 进行 查 
询 ， 最 后 再 把 结果 返回 给 客户 机 。 
由 于 Internet 根 服务 器 的 地 址 经 常会 发 生变 化 ， 因 此 named.ca 也 应 该 要 随 之 更 新 。 最 
新 的 根 服务 器 列表 可 以 从 ftp://ftp.rs.internic.net/domain/ 下 载 ， 文 件 名 是 rootzone， 它 包含 


IS 


“Ms 
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了 国际 互联 网 络 信息 中 心 (InterNIC) 提供 的 最 新 数据 。 另 外 ， 也 可 以 用 Bind 提供 的 命 


dig 列 出 最 新 的 根 服务 器 ， 命 令 如 下 : 
# dig 


2 <<>> DiG 9.8.2rcl=RedHat=9.8.2=0.10.rcl-.e16 <<>> 

;; global options: printcmd 

77 Got answer: 

7 ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 46053 


和 


;; flags: qr rd ra; QUERY: 1, ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 15 


QUESTION SECTION: 


7» IN NS 

77 ANSWER SECTION: 

459744 IN NS F.ROOT-SERVERS .NET . 
459744 IN NS M.ROOT-SERVERS .NET . 
459744 IN NS 工 .ROOT-SERVERS .NET. 
459744 IN NS E.ROOT-SERVERS .NET. 
459744 IN NS D.ROOT-SERVERS .NET . 

7 ADDITIONAL SECTION: 

M.ROOT-SERVERS .NET. 546144 IN A | 

可 .ROOT-SERVERS .NET . 546144 IN A 192.59-128.30 

C.ROOT-SERVERS .NET . 546144 IN A L92533.4512 

及 .ROOT-SERVERS .NET. 546144 IN A L904 0 

I.ROOT-SERVERS.NET. 546144 IN A L928365140» 17 


;; Query time: 2 msec 
7?» SERVER: 10.10.1.2#53(10.10.1.2) 
;?; WHEN: Tue Nov 18 16:48:23 2008 
?7 MSG SIZE rcvd: 492 


以 上 列 出 的 就 是 Internet 根 服务 器 的 IP 地 址 ， 如 果 使 用 以 下 命令 ， 可 以 把 这 些 内 容 存 


到 root.zone 文件 中 ， 这 个 文件 就 可 以 做 为 主 配置 文件 中 指定 的 根 域 的 区 文件 。 


dig > /etc/named/named.root 


14.3.3 区域 数 据 文件 


一 个 区 域内 的 所 有 数据 ,包括 主机 名 和 对 应 IP 地 址 、 刷 新 闻 隔 和 过 期 时 间 等 ， 都 必须 


要 存放 在 DNS 服务 器 内 ， 而 用 来 存放 这 些 数据 的 文件 就 称 为 区 域 文 件 。DNS 服务 器 和 


域 数据 文件 一 般 存放 在 /var/named 目录 下 。 一 台 DNS 服务 器 内 可 以 存放 多 个 区 域 文 件 ， 


的 区 


一 个 区 域 文件 也 可 以 存放 在 多 台 DNS 服务 器 中 。 下 面 是 14.2.3 节 配 置 例子 中 提 人 


号 可 区 I} 


wzvtc.cn 域 的 区 域 数据 文件 named.benet.com 的 内 容 。 


# vi /var/named/named.benet.com 
Ey wy Me 
wzvtc.cn. IN SOA ns.wzvtc.cn. ltf@wzvtc.cn. ( 


1 ; 定义 序列 号 的 值 , 同步 辅助 名 称 服务 器 数据 时 使 用 


S 


3h ; 更 新 时 间 间 隔 值 。 定 义 该 服务 器 的 辅助 名 称 服务 器 隔 


多 久 时 间 更 新 一 次 
1h ; 辅助 名 称 服务 器 更 新 失败 时 , 重 试 的 间隔 时 间 


"a 
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1w ; 辅助 名 称 服务 器 一 直 不 能 更 新 时 , 其 数据 过 期 的 时 间 
lh ) ; 最 小 默认 TTL 的 值 , 如 果 第 一 行 没有 $TTL, 则 使 用 该 值 

benet .com. IN NS www.benet.com. 

benet .com. IN Mx 10 mail 

www.benet .com. IN A 2 

mail IN A 192.168.0.1 

WwW IN A 192.168.0.2 

oa IN CNAME www 

lib IN A L9269:033 

gsx IN A 2215224.2.234 


在 区 域 数据 文件 中 ,使 用 “;” 作 为 行 注释 符 ， 除 第 一 条 语句 以 外 ， 区 域 数据 文件 中 的 
每 一 条 语句 称 为 一 条 记录 。 以 上 配置 中 各 条 语句 的 含义 如 下 所 示 。 


1. 设置 其 他 DNS 服务 器 缓存 本 机 数据 的 默认 时 间 


$TTL 指令 要 求 放 在 文件 的 第 1 行 ,定义 了 其 他 DNS 服务 器 缓存 本 机 数据 的 默认 时 间 ， 
默认 单位 是 秒 ， 也 可 以 用 h (小 时 )、d (天 ) 和 w (星期 ) 为 单位 。DNS 服务 器 在 应 答 中 
提供 TTL 值 ， 目 的 是 允许 其 他 的 服务 器 在 TTL 间隔 内 缓存 数据 。 如 果 本 地 的 DNS 服务 器 
数据 改变 不 大 , 可 以 考虑 几 天 的 默认 TTL, 最 长 可 以 设 为 一 周 。 但 是 不 推荐 设置 TTL 为 0， 
此 时 将 导致 大 量 的 DNS 数据 传输 。 


2. 设置 起 始 授权 机 构 


SOA 是 Start of Authority 〈 起 始 授权 机 构 ) 的 缩写 ， 它 指出 这 个 域名 服务 器 是 作为 该 
区 数据 的 权威 的 来 源 。 在 指令 “benet.com. IN SOA www.benet.com. ltfQbenet,com.” 中 ， 指 
定 了 负责 解析 benet.com. 域 的 授权 主机 名 是 “www.benet.com.”， 授权 主机 名 称 将 在 区 域 文 
件 中 解析 为 IP 地 址 。IN 表示 属于 Internet 类 ， 是 固定 不 变 的 ,“ltf@benetcom.” 表 示 负 责 
该 区 域 的 管理 员 的 E-mail 地 址 。 每 一 个 区 文件 都 需要 一 个 SOA 记录 ， 而 且 只 能 有 一 个 。 
SOA 资源 记录 还 要 指定 一 些 附加 参数 ， 放 在 SOA 资源 记录 后 面 的 括号 内 ， 其 名 称 和 功能 
见 例子 中 的 注释 。 

3. 设置 名 称 服务 器 NS 资源 记录 

“benet.com. IN NS www.benet.com.” 是 一 条 NS (Name Server) 资源 记录 ， 定 义 了 域 
“benet.com.” 由 DNS 服务 器 “www.benet.com.” 人 负责 解析 ，NS 资源 记录 定义 的 服务 器 称 
为 区 域 权 威名 称 服 务 器 。 权 威名 称 服务 器 负责 维护 和 管理 所 管辖 区 域 中 的 数据 ， 被 其 他 服 
务 器 或 客户 端 当 作 权 威 的 来 源 ， 并 且 能 肯定 应 答 区 域内 所 含 名 称 的 查询 。 这 里 的 配置 要 求 
和 SOA 记录 配置 一 致 。 


4. 设置 邮件 服务 器 MX 资源 记录 


“benet.com. IN MX 10 mail” 是 一 条 MX(IMail eXchanger) 资 源 记 录 , 表示 发 往 benet.com 
域 的 电子 邮件 由 mail.benet.com. 邮 件 服务 器 负责 处 理 。 例 如 ， 当 一 个 邮件 要 发 送 地 址 到 
test@benet.com 时 ， 发 送 方 的 邮件 服务 器 通过 DNS 服务 器 查询 benet.com 这 个 域名 的 MX 
资源 记录 ， 查 到 后 会 把 邮件 发 送 到 指定 的 邮件 服务 器 ， 如 mailLbenetcom。 至 于 该 域名 对 应 
的 瑟 地 址 ， 需 要 通过 随后 的 A 资源 记录 设 定 。 


ss 
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会 说明 : 可 以 设置 多 个 MX 资源 记录 ， 指明 多 个 邮件 服务 器 ,优先 级 别 由 MX 后 的 数字 决 
定 ， 数 字 越 小 ， 邮 件 服务 器 的 优先 权 越 高 。 优 先 级 高 的 邮件 服务 器 是 邮件 传送 的 
主要 对 和 象 ， 当 邮件 传送 给 优先 级 高 的 邮件 服务 器 失败 时 ， 可 以 把 它 传送 给 优先 级 
低 的 邮件 服务 器 。 


5. 设置 主机 地 址 A 资源 记录 


主机 地 址 A〈Address) 资源 记录 是 最 常用 的 记录 ， 它 定义 了 DNS 域名 对 应 IP 地 址 的 
信息 。 在 上 面 的 例子 中 ,使 用 了 两 种 方式 来 定义 A 资源 记录 。 一 种 是 使 用 相对 名 称 ， 即 在 
名 称 的 末尾 没有 加 “.”， 另 外 一 种 是 使 用 完全 规范 域名 FQDN (Fully Qualified Domain 
Name)， 即 名 称 的 最 后 以 “.” 结 束 。 这 两 种 方式 只 是 书写 形式 不 同 而 已 ， 在 使 用 上 没有 任 
何 区 别 。 例 如 ， 对 于 相对 名 称 mail、oa 等 ，Bind 会 自动 在 相对 名 称 的 后 面 加 上 后 级 
“.benet.com.”， 所 以 相当 于 完全 规范 域名 的 mail. benet.com. 和 oa. benet.com.。 


6. 设置 别名 CNAME 资源 记录 


别名 CNAME (Canonical Name ) 资源 记录 也 被 称 为 规范 名 字 资 源 记录 。CNAME 资源 
记录 人 允许 将 多 个 名 称 映射 到 同一 台 计 算 机 上 ， 使 得 某 些 任务 更 容易 执行 。 例 如 ， 对 于 同时 
提供 Web、OA 服务 的 计算 机 (IP 地 址 为 192.168.0.3)， 为 了 便于 用 户 访问 服务 ， 可 以 先 为 
其 建立 一 条 主机 地 址 A 资源 记录 “www IN A 192.168.0.3”， 将 www，benet.com 映射 
到 192.168.0.3 地 址 ， 然 后 再 为 该 计算 机 设置 oa 别名 ， 即 建立 CNAME 资源 记录 “oa IN 
CNAME www”。 这 样 ， 当 访问 www， benetcom 和 oa.benet.com 时 ， 实 际 是 访问 IP 地 址 
为 192.168.0.3 的 计算 机 。 


14.3.4 ” 反 向 解析 区 域 数据 文件 


反 向 解析 区 域 数据 文件 的 结构 和 格式 与 区 域 数 据 文件 类 似 ， 只 不 过 它 的 主要 内 容 是 建 
立 IP 地 址 映射 到 DNS 域名 的 指针 PTR 资源 记录 。 下 面 是 14.2.3 节 配 置 例子 中 提供 的 
named.0.168.192 域 的 反 向 解析 区 域 数据 文件 named.0.168.192 的 内 容 。 


# vi /var/named/named.0.168.192 


$TTL 3h 

0.168.192.in-addr.arpa. IN SOA www.benet.com. ltf@benet.com.( 
1 ; Serial 
3h ; Refresh after 3 hours 
1h ; Retry after 1 hour 
1w ; Expire after 1 week 
lh ) ; Negative caching TTL of 1 hour 

0.168.192.in-addr.arpa. IN NS Www .benet .com. 

有 1 www.benet .com. 

下 IN PTR mail.wzvtc.cn. 

3 IN PTR lib.wzvtc.cn. 


反 向 域名 解析 是 通过 in-addr.arpa 域 和 PTR 记录 实现 的 。in-addr.arpa 域 入 口 可 以 设 成 
最 不 重要 到 最 重要 顺序 ， 从 左 至 右 阅 读 ， 这 与 IP 地 址 的 通常 顺序 相反 。 于 是 , 一 台 下 地 
址 为 10.1.2.3 的 机 器 将 会 有 对 应 的 in-addr.arpa 名 称 : 3.2.1.10.in-addrarpa。 这 个 名 称 应 该 具 
有 一 个 PTR 资源 记录 ， 它 的 数据 字段 是 主机 名 称 。 下 面 看 一 下 以 上 配置 的 具体 解释 。 


汪汪 
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1. 设置 SOA 和 NS 资源 记录 


反 向 解析 区 域 文 件 必须 包括 SOA 和 NS 资源 记录 ， 使 用 固定 格式 的 反 向 解析 区 域 
in-addrarpa 作为 域名 。 结 构 和 格式 与 区 域 数 据 文 件 类 似 ， 这 里 不 再 重复 。 


2. 设置 指针 PTR 资源 记录 


指针 PTR 资源 记录 只 能 在 反 向 解析 区 域 文 件 中 出 现 。PTR 资源 记录 和 A 资源 记录 正 
好 相反 ， 它 是 将 IP 地 址 解析 成 DNS 域名 的 资源 记录 。 与 区 域 文件 的 其 他 资源 记录 类 似 ， 
它 也 可 以 使 用 相对 名 称 和 完全 规范 域名 FQDN。 例 如 ,，“6.1.10.10.in-addr.arpa. IN PTR 
mail.benet.com. ”表示 IP 地 址 10.10.1.6 对 应 的 域名 为 mail. benet.com。 


14.3.5 配置 DNS 负载 均衡 功能 


随 着 网 络 的 规模 越 来 越 大 ， 用 户 数 急剧 增加 ， 网 络 服务 器 的 负担 也 变 得 越 来 越 重 ， 一 

台 服 务 器 要 同时 应 付 成 千 上 万 用 户 的 并 发 访问 ， 必 然 会 导致 服务 器 过 度 繁忙 ， 响 应 时 间 过 

长 的 结果 。DNS 负载 均衡 的 优点 是 简单 易 行 ， 而 且 实现 代价 小 。 它 在 DNS 服务 器 中 为 同 

-个 域名 配置 多 个 卫 地 址 〈 即 为 一 个 主机 名 设置 多 条 A 资源 记录 )， 在 应 答 DNS 查询 时 ， 

DNS 服务 器 对 每 个 查询 将 以 DNS 文件 中 主机 记录 的 IP 地 址 按 顺序 返回 不 同 的 解析 结果 ， 

将 客户 端的 访问 引导 到 不 同 的 计算 机 上 去 ， 从 而 达到 负载 均衡 的 目的 。 下 面 是 一 个 实现 邮 
件 服务 器 负载 平衡 的 配置 片段 〈 在 区 域 数 据 文件 中 )。 

IN Mx 10 mail.example.com. 


IN MX 10 maill.example.com. 
IN MX 10 mail2.example.com. 


网 


mail IN A 192.168.0.4 
maill IN A L92168.055 
mail2 IN A 192.168.0.6 


在 以 上 配置 中 ，mail、maill 和 mail2 均 是 example.com. 域 中 的 邮件 服务 器 ， 而 且 优 先 
级 都 是 10。 当 客户 端 (通常 是 SMTP 软件 ) 查 询 邮件 服务 器 他 地 址 时 ,Bind 将 根据 rrset-order 
语句 定义 的 次 序 把 配置 中 设 定 的 3 条 A 记录 都 发 送 给 客户 端 , 客户 端 可 以 使 用 自己 规定 的 
算法 从 3 条 记录 中 挑选 一 条 。rrset-order 语句 是 主 配置 文件 中 options 主语 句 的 一 条 子 语句 ， 
可 以 定义 固定 、 随 机 和 轮 询 的 次 序 。 下 面 的 配置 是 另 一 种 实现 邮件 服务 器 负载 平衡 的 方法 。 


IN Mx 10 mail.example.com. 


mail IN A 192.168.0.4 
IN A 192.168.0.5 
IN A 192.168.0.6 


在 以 上 配置 中 , mail.example.com 对 应 了 3 个 IP 地 址 , 此 时 , 具体 选择 哪 一 条 A 记录 ， 

也 是 由 rrset-order 语句 决定 。 另 外 ， 在 反 向 解析 文件 中 , 这 3 个 卫 都 要 对 应 mail 主机 ， 以 
免 有 些 邮 件 服 务 器 为 了 反 垃 圾 邮件 进行 反 向 查询 时 出 现 问题 。 

除了 邮件 服务 器 以 下 ， 其 他 的 服务 也 可 以 采用 类 似 的 配置 实现 负载 均衡 。 例 如 ， 要 使 

3 台 内 容 相 同 的 FTP 服务 器 共同 承担 客户 机 的 访问 ,它们 的 IP 地 址 分 别 是 192.168.0.10、 

192.168.0.20 和 192.168.0.30。 可 以 根据 14.2.3 节 所 提供 的 一 套 配置 文件 , 在 named.benet.com 


ss 


第 3 篇 Linux 常见 服务 器 架设 


区 域 数 据 文件 中 输入 以 下 内 容 来 达到 目的 。 


ftp TIN A192-16830:10 
ftp IN A 192>169>0.20 
ftp TN A "A19251685030 


此 时 , 为 了 解析 客户 端 对 ftp.benet.com 的 域名 查询 ,DNS 服务 器 会 轮 询 这 3 条 A 资源 
记录 ， 以 rrset-order 子 语句 设 定 的 顺序 响应 用 户 的 解析 请 求 ， 实 现 了 将 客户 机 的 访问 分 担 
到 每 个 FTP 服务 器 上 的 负载 均衡 功能 。 测 试 结 果 如 图 14-11 所 示 ， 可 以 看 到 ，3 次 查询 
ftp.benet.com 域名 得 到 的 IP 地 址 次 序 是 不 一 样 的 。 


DNS request tined out. 
tineout was 2 seconds. 
ftp-henet -com 
: 192.168.9.29 
192.168.8.39 
192.168.8.18 


DNS request tined out. 
tineout was 2 seconds. 

DNS request tined out. 
tineout was 2 seconds. 

ftp-benet -com 


192.-168.9-298 
192.168.6.30 


> ftp.benet.con 
服 :www.benet .con 
Address: 192.168.9.2 


DNS request timed out. 
tineout was 2 seconds. 
IDNS request tined out. 
tineout was 2 seconds. 
名 称 : ftp.benet -com 
Addresses: _ 192.168.9.39 


图 14-11 负载 均衡 测试 结果 


人 注意 : 以 上 的 Bind 配置 只 是 为 其 他 服务 器 的 负载 平衡 提供 了 条 件 。 当 具体 使 用 时 ， 还 
需要 多 台 服 务 器 之 间 采 取 同 步 等 措施 才能 真正 实现 。 


14.3.6 ”直接 域名 、 泛 域名 与 子 域 


许多 用 户 有 直接 使 用 域名 访问 Web 网 站 的 习惯 , 即 在 浏览 器 中 不 输入 www 等 主机 名 ， 
而 是 直接 使 用 如 http://baidu.com/ 或 http://tom.com/ 等 域名 来 访问 。 然而 , 并 不 是 所 有 的 Web 
网 站 都 支持 这 种 访问 方式 ， 只 有 DNS 服务 器 能 解析 直接 域名 的 网 站 才 可 以 使 用 。 可 以 在 
named.empty 区 域 文件 中 加 入 以 下 内 容 实现 直接 域名 解析 。 

benet .com. IN A 192.168.0.2 

此 时 ， 域 名 empty 可 以 解析 为 192.168.0.2， 与 www.benet.com 域名 的 解析 结果 一 样 ， 
测试 情况 如 图 14-12 所 示 。 

另外 ， 如 果 在 named.empty 中 加 入 以 下 语句 ， 还 可 以 实现 一 种 泛 域名 的 效果 。 


*.benet.com. IN A 192-1698=0:2 
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名 称 : 。 mail.benet-com 
ddress: 192.168.8.1 


图 14-12 直接 域名 解析 测试 结果 


泛 域名 是 指 一 个 域名 下 的 所 有 主机 和 子 域名 都 被 解析 到 同一 个 卫 地 址 上 。 在 以 上 配置 
中 ， 所 有 以 “.benet.com” 为 后 级 的 域名 的 IP 地 址 都 将 解析 为 192.168.0.2。 另 外 ， 默 认 情 
况 下 泛 域名 解析 的 优先 级 最 高 ， 如 果 区 域 文件 中 存在 其 他 主机 的 A 资源 记录 ， 它 们 都 将 失 
效 。 如 图 14-13 所 示 的 是 泛 域名 的 测试 结果 。 

从 图 14-13 中 可 以 看 到 ， 不 管 采用 什么 样 的 主机 名 ， 只 要 后 级 是 “.benet.com”，IP 地 
址 都 将 解析 为 192.168.0.2。 

子 域 (Subdomain)， 是 域名 层次 结构 中 的 一 个 术语 ， 是 对 某 一 个 域 进行 细 分 时 的 下 一 
级 域 。 例 如 ，benet.com 是 一 个 顶级 域名 ， 可 以 把 dean.benet.com 配置 成 是 它 的 一 个 子 域 。 
配置 子 域 可 以 有 两 种 方式 , 一 种 是 把 子 域 配置 放 在 另 一 台 DNS 服务 器 上 , 男 一 种 是 子 域 配 
置 与 父 域 配置 放 在 一 起 ， 此 时 也 称 为 虚拟 子 域 。 下 面 介 绍 虚拟 子 域 的 配置 方法 。 

假设 在 14.2.3 节 所 提供 的 一 套 配 置 文件 的 基础 上 ， 要 求 配置 一 个 虚拟 子 域 ， 名 为 
dean.benet.com。 此 时 ， 需 要 在 区 域 文件 named.benet.com 添加 以 下 内 容 。 


图 14-13 泛 域名 解析 测试 结果 


$ORIGIN dean.wzvtc.cn. 
mail IN A LO L0328 
ftp IN A 工 051053229 
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mail 和 ftp 是 定义 在 子 域 dean.benetcom 中 的 主机 名 ， 即 域名 mail.dean.benet.com 和 ftp. 
dean.benet.com 对 应 的 卫 地 址 分 别 是 192.168.0.4 和 192.168.0.5。 测 试 结果 如 图 14-14 所 示 。 


icroso! ws [ 肠 -1.7688] 
| 版 权 所 有 “ce > 2009 Microsoft Corporation。 保 留 所 有 权利 。 
:Wsers\shiningzhong>color FO 


: sers\shiningzhong>nslookup 
有 A 


名 ftp-dean -benet-com 
Address: 192.168.9.4 


vebadean -benet-com 
服 www -benet 
0: 192.168-02 


et .com 


名 称 : aean .ber 
Address: et -168 -85 


> 


图 14-14 ”虚拟 子 域 测试 结果 


当然 ， 在 子 域 dean.benet.com 中 也 可 以 配置 邮件 网 关 等 功能 ， 其 配置 与 父 域 中 的 配置 
类 似 。 


14.3.7 ” 辅 域 服 务 器 和 只 缓存 服务 器 


在 Bind 服务 器 中 , 还 可 以 根据 需要 配置 辅 域 服务 器 和 只 缓存 服务 器 ,以 使 能 更 快 地 为 
客户 端 提 供 DNS 服务 ， 并 提高 可 靠 性 。 


1. 辅 域 服务 器 


辅 域 服 务 器 也 可 以 向 客户 机 提供 域名 解析 功能 。 但 它 与 主 域 服务 器 不 同 的 是 ， 它 的 数 
据 不 是 直接 输入 的 , 而 是 从 其 他 DNS 服务 器 〈 主 域 服务 器 或 其 他 的 辅 域 服务 器 ) 中 复制 过 
来 的 ， 只 是 一 份 副本 ， heat 改 。 
当 启 动 辅 域 服务 器 时 ， 它 会 和 指定 的 所 有 主 域 服务 器 建立 联系 ， 并 从 中 复制 数据 。 在 
辅 域 服务 器 工作 时 ， 还 会 定期 地 更 改 原 有 的 数据 ， 以 尽 可 能 保证 副本 与 正本 数据 的 一 致 性 。 
在 大 型 网 络 中 ， 经 常设 置 多 台 辅 域 服务 器 ， 主 要 目的 如 下 所 示 。 
口 提供 容错 能 力 : 当主 域 服务 器 发 生 故 障 时 ， 由 辅 域 服务 器 提供 服务 。 
口 分 担 主 域 服 务 器 的 负担 : 在 DNS 客户 端 较 多 的 情况 下 ， 通 过 架设 辅 域 服务 器 完成 
对 客户 端的 查询 服务 ， 可 以 有 效 地 减轻 主 域 服务 器 的 负担 。 

口 加 快 查询 的 速度 : 如 果 本 地 网 络 必须 使 用 某 一 台 DNS 服务 ， 但 与 这 台 DNS 服务 
器 连接 的 速度 较 慢 ， 可 以 在 本 地 网 络 配置 一 台 远 程 DNS 服务 器 的 辅 服 务 器 ， 使 本 
地 DNS 客户 端 直接 向 此 辅 域 服务 器 进行 查询 ， 而 不 需要 向 速度 较 慢 的 主 域 服务 器 
查询 ， 以 加 快速 度 ， 并 减少 用 于 DNS 查询 的 外 网 通信 量 。 

辅 域 服务 器 的 主 配 置 文件 也 是 /etc/named.rfc1912.zones， 也 需要 设置 服务 器 的 options 

主语 句 和 根 区 域 ， 方 法 与 配置 主 域 服务 器 的 方法 相同 。 但 在 配置 区 域 时 ， 只 需要 提供 区 域 
ed IP 地 址 , 而 不 需要 建立 相应 的 区 域 文件 。 因 为 一 个 辅 域 服务 器 不 需要 在 
本 地 建立 各 种 资源 记录 ， 而 是 通过 一 个 区 域 复 制 过 程 来 得 到 主 域 服务 器 上 的 资源 记录 。 下 
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面 是 辅 域 服务 器 主 配置 文件 /etc/named.rfc1912.zones 的 部 分 内 容 。 


;其 余 配 置 未 变化 
Zone "benet.com" { 
type slave; ;区 类 型 为 slave 
file "slaves/benet.com.zone"; 
masters {192.168.0.2;}; ;要 联系 的 主 服 务 器 为 192 .168 .0.2 


}; 

zone "0.168.192.in-addr.arpa" { 
type slave; ;区 类 型 为 slave 
file "slaves/0.168.192.arpa"; ”该 文件 名 不 是 必须 和 主 服务 器 名 相同 的 
masters {192.168.0.2;}; ;要 联系 的 主 服务 器 为 192.168 .0.2 


}; 
.…. ;其 余 配置 未 变化 


与 前 面 主 域 服务 器 的 配置 相 比 , 以 上 配置 中 的 benet.com 和 0.168.192.in-addr.arpa 两 个 
区 的 type 设 成 slave， 区 域 数据 文件 的 位 置 也 发 生 了 变化 。 另 外 ， 在 两 个 区 域 中 均 增加 了 
“masters {192.168.0.2;} ”语句 ， 表 示 主 域 服务 器 的 IP 地 址 是 192.168.0.2。 此 时 ， 要 假设 在 
IP 地 址 为 192.168.0.2 的 计算 机 上 运行 着 Bind， 其 使 用 的 配置 文件 是 14.2.3 节 所 提供 的 那 

- 套 ， 但 有 关 benet.com 和 0.168.192.in-addr.arpa 区 域 的 配置 改 为 以 下 内 容 : 
. . . ;其 余 配置 未 变化 
Zone "benet.com" IN { 
type master; 
file "named.benet.com"; 
allow-update { none; }; 
allow-transfer {192.168.0.3;}; ; 允许 向 192 .168 .0.3 传送 区 域 数据 
he 


zone "0.168.192.in-addr.arpa" IN { 
type master; 
file "named.0.168.192"; 
allow-update { none; }; 
allow-transfer {192.168.0.3;}; ; 允许 向 192 .168.0.3 传送 区 域 数据 
}; 
二 7 其余 配 置 未 变化 
与 原来 相 比 ， 两 个 区 的 配置 中 均 多 了 “allow-transfer {192.168.0.3;};” 子 语句 ， 表 示人 允 
许 向 192.168.0.3〔 辅 域 服务 器 IP 地 址 ) 的 计算 机 传送 区 域 数据 。 


2. 只 缓存 服务 器 


只 缓存 服务 器 是 一 种 很 特殊 的 DNS 服务 器 。 它 本 身 并 不 管理 任何 区 域 ， 但 是 DNS 客 
户 端 仍然 可 以 向 它 请 求 查询 。 只 缓存 服务 器 类 似 于 代理 服务 器 , 它 没有 自己 的 域名 数据 库 ， 
而 是 将 所 有 查询 转发 到 其 他 DNS 服务 器 处 理 。 当 只 缓存 服务 器 从 其 他 DNS 服务 器 收 到 查 
询 结果 后 , 除了 返回 给 客户 机 外 ， 还 会 将 结果 保存 在 缓存 中 。 当 下 一 个 DNS 客户 端 再 查询 
相同 的 域名 数据 时 ， 就 可 以 从 高 速 缓存 里 得 到 结果 ， 从 而 加 快 对 DNS 客户 端的 响应 速度 。 
如 果 在 局 域 网 中 建立 一 台 这 样 的 DNS 服务 器 ， 就 可 以 提高 客户 机 DNS 的 查询 效率 并 减少 
内 部 网 络 与 外 部 网 络 的 流量 。 

架设 只 缓存 服务 器 非常 简单 ， 只 需要 建立 主 配 置 文件 named.conf 即 可 。 一 个 典型 的 只 
缓存 服务 器 配置 如 下 : 


se 
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options { 
directory "/var/named"; 


version "not currently available"; ;隐藏 名 称 与 版 本 号 
forwarders { 202.96.0.133;61.144.56.101;} ;转发 到 其 他 DNS 服务 器 进行 查询 
forward only; ;只 转发 , 自己 不 提供 解析 服务 


allow-transfer{"none";}; 
allow-query {any;}; 
}; 
logging{ 定义 本 一 个 日 志 
channel example log{ 
file "/var/log/named/example.1log" versions 3; 
severity info; 
print-severity yes; 
print-time yes; 
print-category yes; 
}; 
category default{ 
example log; 
}; 
}; 


其 中 关键 的 语句 是 “forward only;”, 表示 只 对 客户 端 提交 的 查询 进行 转发 , 由 其 他 DNS 
服务 器 提供 查询 结果 , 自己 只 对 结果 进行 缓存 , 以 便 下 次 碰 到 同样 的 查询 时 能 更 快 地 响应 。 
至 于 转发 到 哪 一 台 DNS 服务 器 ， 由 “forwarders { 202.96.0.133;61.144.56.101;} ”语句 决 定 。 


14.4 小 结 
DNS 是 Internet 上 必 不 可 少 的 一 种 网 络 服务 ， 它 提供 把 域名 解析 为 IP 地 址 的 服务 ， 是 
每 一 台 上 网 的 计算 机 都 必须 使 用 的 服务 之 一 。 本 章 首先 介绍 了 DNS 的 工作 原理 、DNS 协 


议 ， 然 后 介绍 了 用 Bind 软件 架设 DNS 服务 器 的 方法 ,包括 Bind 的 安装 、 运 行 和 配置 ， 以 
及 chroot、 负 载 均衡 、 泛 域名 、 辅 域 服务 器 、 只 缓存 服务 器 等 特殊 功能 的 配置 方法 。 
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随 着 网 络 技术 的 普及 和 Web 技术 的 不 断 完善 ,WWW (World Wide Web， 环球 信息 网 ) 
服务 已 经 成 为 Internet 上 最 重要 的 服务 形式 之 一 。 通 过 浏览 器 访问 各 种 网 站 ， 已 经 成 为 人 
们 从 Internet 获取 信息 的 主要 途径 。 正 是 Web 服务 的 应 用 ， 才 使 得 Internet 普及 的 进程 大 
大 加 快 。 另 外 ， 各 种 应 用 系统 也 已 经 逐渐 从 原 有 的 “客户 端 /服务 器 ”模式 转变 为 “浏览 器 
/服务 器 ”模式 ， 其 中 的 Web 技术 起 着 非常 重要 的 作用 。 本 章 将 重点 介绍 Web 工作 原理 、 
HTTP 协议 、Apache 服务 器 的 安装 、 运 行 与 配置 方法 。 


15.1 HTTP 协议 


HTTP (HyperText Transfer Protocol， 超 文本 传输 协议 ) 是 Web 系统 最 核心 的 内 容 ， 它 
是 Web 服务 器 和 客户 端 之 间 进 行 数据 传输 的 规则 。Web 服务 器 就 是 平时 所 说 的 网 站 , 是 信 
息 内 容 的 发 布 者 。 最 常见 的 客户 端 就 是 浏览 器 ， 它 是 信息 内 容 的 接收 者 。 下 面 介绍 有 关 
HTTP 协议 的 主要 内 容 。 


15.1.1 HTTP 协议 的 通信 过 程 


HTTP 协议 是 基于 请 求 /响应 范式 的 。 一 个 客户 端 与 服务 器 建立 连接 后 ， 发 送 一 个 请 求 
给 服务 器 。 请 求 消息 的 格式 包括 统一 资源 标识 符 “URI)、 协 议 版 本 号 以 及 MIME 信息 ， 
MIME 信息 包括 请 求 修饰 符 、 客 户 机 信息 和 可 能 的 内 容 。 服 务 器 接 到 请 求 后 ， 将 给 予 相应 
的 响应 信息 ， 其 格式 包括 HTTP 的 协议 版 本 号 、 一 个 成 功 或 错误 的 代码 及 MIME 信息 ， 
MIME 信息 包括 服务 器 信息 、 实 体 信 息 和 可 能 的 内 容 。 

最 简单 的 HTTP 通信 方式 是 由 用 户 代理 和 源 服 务 器 之 间 通 过 一 个 单独 的 连接 来 完成 
的 。 如 图 15-1 所 示 ， 客 户 端的 一 个 用 户 代理 首先 向 源 服务 器 发 起 连接 请 求 ， 源 服务 器 接受 
请 求 后 就 建立 了 一 个 TCP 连接 ， 然 后 客户 端 通过 这 个 TCP 连接 提交 一 个 申请 源 服务 器 上 
资源 的 请 求 链 。 如 果 源 服务 器 能 满足 这 个 请 求 链 。 就 回应 给 客户 端 一 个 响应 链 。 


客户 端 源 服务 器 
图 15-1 最 简单 的 HTTP 通信 方式 


当 一 个 或 多 个 中 介 出 现在 请 求 / 响应 链 中 时 ， 情 况 就 变 得 复杂 一 些 。 如 图 15-2 所 示 ， 
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A、B、C 均 是 中 介 ， 客户 端 和 服务 器 之 间 的 数据 通道 不 是 直接 连通 的 ， 而 是 要 经 过 A、B、 
C 转发 ， 总 共有 4 个 连接 段 。 也 就 是 说 ， 客 户 端的 请 求 链 要 经 过 中 介 A、B、C 后 才 到 达 服 
务 器 ， 而 服务 器 的 回应 链 也 要 经 过 中 介 A、B、C 后 才 到 达 客 户 端 。 虽然 图 中 所 示 的 连接 
是 线性 的 ， 但 每 个 节点 都 可 能 从 事 多 重 的 、 并 发 的 通信 。 例 如 ，B 可 能 同时 会 接受 其 他 客 
户 端 的 请 求 ， 客 户 端 可 能 会 直接 发 送 另 一 个 请 求 链 到 C。 


一 本 应 链 


图 15-2 ”具有 中 介 的 HTTP 通信 方式 


中 介 包 括 3 种 类 型 : 代理 (Proxy)、 网 关 (Gateway) 和 通道 (Tunnel)。 代 理 根据 URI 
的 绝对 格式 来 接受 请 求 ， 重 写 全 部 或 部 分 消息 ， 通 过 URI 标识 把 已 修改 过 的 请 求 发 送 到 服 
务 器 。 网 关 是 一 个 接收 代理 ， 作 为 一 些 其 他 服务 器 的 上 层 ， 如 果 必 须 ， 可 以 把 请 求 翻译 给 
下 层 的 服务 器 协议 。 通 道 不 会 改变 消息 ， 只 是 两 个 连接 之 间 的 中 继 点 ， 当 通信 只 需 简单 穿 
过 一 个 中 介 或 者 是 中 介 不 需 识 别 消息 的 内 容 时 ， 经 常 采 用 通道 。 

除了 通道 以 外 ， 代 理 和 网 关 可 以 为 接收 到 的 请 求 启用 一 个 内 部 缓存 。 如 图 15-3 所 示 ， 
中 介 B 具有 缓存 功能 ， 客 户 端 向 服务 器 提交 的 请 求 链 到 达 B 以 后 ，B 发 现 所 请 求 的 内 容 可 
以 从 缓存 中 得 到 。 于 是 B 不 再 把 请 求 链 向 C 转发 ， 而 是 把 缓存 中 的 内 容 通过 响应 链 发 送 给 
客户 端 。 于 是 ， 整 个 通信 过 程 被 缩短 了 ， 响 应 速度 也 就 加 快 了 。 客 户 端 并 不 知道 回应 链 是 
由 中 介 B 过 来 的 ， 以 为 还 是 来 自 源 服务 器 。 当 然 ， 缓 存 的 数据 要 及 时 更 新 ， 才 能 与 源 服 务 
器 数据 保持 一 致 。 


请 求 链 
时 一 i - 上 风流 im 
户 端 A B C 源 服务 器 


图 15-3 具有 缓存 的 HTTP 通信 方式 


在 Internet 上 ，HTTP 通信 通常 发 生 在 TCP/IP 连接 上 。 默 认 情况 下 ， 服 务 器 在 80 号 
TCP 端口 处 于 监听 状态 。 客 户 端 首先 向 服务 器 的 这 个 端口 发 起 连接 请 求 ， 服 务 器 接受 请 求 
后 ， 建 立 了 TCP 连接 。 于 是 双方 就 可 以 通过 这 个 TCP 连接 交换 数据 了 。 

会 说明: HTTP 协议 也 可 以 工作 在 其 他 任何 协议 上 ， 前 提 是 这 个 协议 必须 要 提供 一 种 可 靠 


a 
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15.1.2 HTTP 协议 的 请 求 行 和 应 答 行 


在 HTTP 协议 中 ， 客 户 端 和 服务 器 的 信息 交换 过 程 要 经 过 4 个 阶段 ， 包 括 建立 连接 、 
发 送 请 求 信息 、 发 送 响应 信息 、 关 闭 连接 ， 如 图 15-4 所 示 。 在 Internet 中 ，HTTP 协议 是 
建立 在 TCP/IP 协议 之 上 的 。 因 此 ， 建 立 连 接 和 关闭 连接 是 由 传输 层 完成 的 ，HTTP 协议 规 
定 的 是 请 求 消息 和 应 答 消息 的 格式 。 


@ 建立 连接 加 
a 发 送 请 求 消息 a 
3) 发 送 响应 消息 
本 关闭 连接 
客户 端 源 服务 器 


图 15-4 Web 客户 机 和 服务 器 的 数据 交互 
HTTP 请 求 消息 的 格式 如 下 : 
< 请 求 行 > 
通用 头 域 
请 求 头 域 
实体 头 域 
CR/LF 


实体 数据 
应 答 消 息 的 格式 如 下 : 
< 应 答 行 > 
通用 头 域 
应 答 头 域 


实体 头 域 
CR/LF 


实体 数据 
在 以 上 格式 中 ， 每 一 种 头 域 都 可 以 有 一 个 或 多 个 成 员 ， 以 “域名 : 域 值 ”的 形式 给 出 ， 
后 面 以 CR/LF 结束 。 请 求 行 和 应 答 行 必须 要 有 ， 后面 也 跟 CRMLF。 头 域 下 面 的 空 行 是 必需 
的 ， 再 接 下 来 是 可 选 的 实体 数据 。 请 求 行 由 3 部 分 组 成 : 请 求 方法 、URI 和 HTTP 版 本 ， 
它们 之 间 用 空格 分 隔 。 例 如 ， 下 面 是 常见 的 一 种 请 求 行 ; 


GET http://httpd.apache.org/docs/2.4/license.html HTTP/1.1 


其 中 ，GET 是 请 求 方法 ，http://httpd.apache.org/docs/2.4/license.html 是 URI, HTTP/1.1 
是 协议 版 本 。HTTP 规范 定义 了 8 种 可 能 的 请 求 方法 ,其 名 称 和 含义 如 下 所 示 ， 其 中 GET、 
HEAD 和 了 POST 方法 是 大 部 分 的 Web 服务 器 都 支持 的 ， 其 余 方 法 很 少 得 到 支持 。 

口 GET: 检索 URI 所 标识 的 资源 。 

口 HEAD: 与 GET 方 法 相同 , 但 只 要 求 返回 状态 行 和 头 域 ， 并 不 返回 所 请 求 的 文档 。 

口 POST: 请 求 服务 器 接受 被 写 入 客户 端 输出 流 中 的 数据 。 

口 PUT: 服务 器 保存 请 求 数据 作为 指定 URI 新 内 容 的 请 求 。 


ws 
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口 DELETE: 请 求 服务 器 删除 URI 中 命名 的 资源 。 

口 OPTIONS: 请 求 得 到 服务 器 所 支持 的 请 求 方法 。 

口 TRACE: 用 于 调用 已 请 求 消息 的 远程 、 应 用 层 回 送 。 

口 CONNECT: 已 文档 化 但 当前 未 实现 的 一 个 请 求 方法 ， 预 留 做 隧道 处 理 。 

URI (Universal Resource Identifier， 通 用 资源 标识 符 ) 用 于 定位 Web 上 可 用 的 每 种 资 
源 ， 包 括 HTML 文档 、 图 像 、 视 频 片 段 、 程 序 等 。 一 般 由 访问 方式 、 主 机 名 和 资源 名 称 3 
部 分 组 成 。 例 如 ， 下 面 是 一 个 典型 的 URI。 


http://httpd.apache.org/docs/2.4/license.html 


其 中 , http 表示 以 http 协议 的 方式 进行 访问 , 其 他 常见 的 访问 方式 还 有 ftp、mailto 等 。 
httpd.apache.org 是 一 个 用 域名 表示 的 主机 ， 表 示 资 源 在 该 主机 上 。/docs/2.4/license.html 是 
一 个 带路 径 的 资源 名 称 ， 表 示 该 资源 在 主机 上 的 位 置 和 名 字 。 在 实际 的 HTTP 请 求 行 中 ， 
也 可 以 使 用 相对 URI， 即 省 略 访问 方式 和 主机 名 。 此 时 这 两 项 默认 采用 前 一 个 请 求 中 的 访 
问 方 式 和 主机 名 。 


全 注意 : 平时 常用 的 URL 并 不 等 同 于 URI，URL 只 是 URI 命 名 机 制 的 一 个 子 集 。 


目前 使 用 的 HTTP 版 本 有 3 种 ，HTTP0.9 HTTP1.0 和 HTTP1.1。 大 部 分 的 Web 服务 器 
使 用 的 均 是 HTTP1.1 版 本 。 

应 答 消 息 的 应 答 行 由 3 个 部 分 组 成 ，HTTP 版 本 、 响 应 代码 和 响应 描述 ， 它 们 之 间 用 
空格 隔 开 。HTTP 版 本 表示 服务 器 可 以 接受 的 最 高 协议 版 本 。 响 应 代码 由 3 位 的 数字 组 成 ， 
指出 请 求 的 成 功 或 失败 ， 如 果 失 败 则 指出 原因 。 响 应 描述 部 分 为 响应 代码 作出 了 可 读 性 解 
释 。 响 应 代码 的 规定 如 下 所 示 。 
1xx: 信息 ， 请 求 收 到 ， 继 续 处 理 。 
2xx: 成 功 ， 行 为 被 成 功 地 接受 、 理 解 和 采纳 。 
3xx: 重 定向 ， 为 了 完成 请 求 ， 必 须 进一步 执行 的 动作 。 
4xx: 客户 端 错误 ， 请 求 包含 语法 错误 或 者 请 求 无 法 实现 。 
5xx: 服务 端 错误 ， 服 务 器 不 能 实现 一 种 明显 无 效 的 请 求 。 
例如 ， 下 面 是 一 个 常见 的 应 答 行 例子 。 

HTTP/1.1 200 OK 


表示 服务 端 已 成 功 地 接受 了 请 求 。 
15.1.3 HTTP 的 头 域 


在 HTTP 的 请 求 消息 和 应 答 消息 中 ， 均 包含 有 头 域 。 头 域 分 为 4 种 ， 其 中 请 求 头 域 和 
应 答 头 域 分 别 在 请 求 消息 和 应 答 消息 中 出 现 ， 通 用 头 域 和 实体 头 域 在 两 种 消息 中 都 可 以 出 
现 ， 但 实体 头 域 具 有 当 消 息 中 包含 了 实体 数据 时 才 会 出 现 。 所 有 的 请 求 头 域名 称 及 功能 
表 15-1 所 示 。 

应 答 头 域 只 在 应 答 消 息 中 出 现 ,是 Web 服务 器 向 浏览 器 提供 的 一 些 状态 和 要 求 。 所 有 
的 应 答 头 域名 称 及 功能 如 表 15-2 所 示 。 


DODO 


口 口 


头 域 名称 
Accept 
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表 15-1 HTTP 请 求 头 域 


功 能 
表示 浏览 器 可 以 接受 的 MIME 类 型 


Accept-Charset 
Accept-Encoding 


浏览 器 可 接受 的 字符 集 
浏览 器 能 够 进行 解码 的 数据 编码 方式 ， 例 如 gzip 


Accept-Language 


浏览 器 所 希望 的 语言 种 类 ， 当 服务 器 能 够 提供 一 种 以 上 的 语言 版 本 时 要 


到 


Authorization 授权 信息 ， 通 常 出 现在 对 服务 器 发 送 的 WWW-Authenticate 头 的 应 答 中 

Expect 用 于 指出 客户 端 要 求 的 特殊 服务 器 行为 

Be a E-mail 地 址 ， 由 一 些 特殊 的 Web 客户 程序 使 用 ， 浏 览 器 不 会 用 
Host 初始 URL 中 的 主机 和 端口 

If-Match 指定 一 个 或 者 多 个 实体 标记 ， 只 发 送 其 ETag 与 列表 中 标记 匹配 的 资源 


If-Modified-Since 


If-None-Match 


If-Range 
If-Unmodified-Since 
Max-Forwards 


Proxy-Authorization 


只 有 当 所 请 求 的 内 容 在 指定 的 日 期 之 后 又 经 过 修改 才 返 回 它 , 否则 返回 304 应 答 

指定 一 个 或 者 多 个 实体 标记 ， 资 源 的 ETag 不 与 列表 中 的 任何 一 个 条 件 匹 配 ， 操 

作 才 执行 

指定 资源 的 一 个 实体 标记 ， 客 户 端 已 经 拥有 此 资源 的 一 个 复制 文件 ， 必 须 与 

Range 头 域 一 同 使 用 

只 有 自 指定 的 日 期 以 来 ， 被 请 求 的 实体 还 不 曾 被 修改 过 ， 才 会 返回 此 实体 
-个 用 于 TRACE 方法 的 请 求 头 域 ， 以 指定 代理 或 网 关 的 最 大 数目 ， 该 请 求 通过 

网 关 才 得 以 路 由 

回应 代理 的 认证 要 求 


Range 指定 一 种 度量 单位 和 被 请 求 资 源 的 偏 移 范 围 ， 即 只 请 求 所 要 求 资源 的 部 分 内 容 
Referer 包含 一 个 URL， 用 户 从 该 URL 代表 的 页 面 出 发 访问 当前 请 求 的 页 面 
TE 表示 愿意 接受 扩展 的 传输 编码 
User-Agent 浏览 器 类 型 ， 如 果 Servlet 返回 的 内 容 与 浏览 器 类 型 有 关 则 该 值 非常 有 用 
表 15-2 HTTP 应 答 头 域 
头 域 名 称 功 能 
Accept-Ranges 服务 器 指定 它 对 某 个 资源 请 求 的 可 接受 范围 


服务 器 规定 自 服务 器 生成 该 响应 以 来 所 经 过 的 时 间 ， 以 秒 为 单位 ， 主要 用 于 缓存 


响应 
Etag 提供 实体 标签 的 当前 值 
Location 因 资 源 已 经 移动 ， 把 请 求 重 定向 至 另 一 个 位 置 ， 与 状态 编码 302 或 者 301 配合 使 


Proxy-Authenticate 


类 似 于 WWW-Authenticate， 但 回应 的 是 来 自 请 求 链 (代理 ) 的 下 一 个 服务 器 的 
认证 
服务 器 与 状态 编码 503( 无 法 提供 服务 ) 配合 发 送 ， 以 标明 再 次 请 求 之 前 应 该 


Retry-After 等 待 多 长 时 间 

Server 标明 Web 服务 器 软件 及 其 版 本 号 

Vary 用 于 代理 是 否 可 以 使 用 缓存 中 的 数据 响应 客户 端的 请 求 

WWW-Authenticate | 提示 客户 端 提 供用 户 名 和 密码 进行 认证 ， 与 状态 编码 401 (未 授权 〉 配合 使 用 


通用 头 域 既 可 以 


在 请 求 消息 ， 也 可 以 用 在 应 答 消息 。 所 有 的 通用 头 域名 称 及 功能 如 


we 
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表 15-3 所 示 。 


表 15-3 HTTP 通用 头 域 
头 域 名 称 功 能 


用 于 指定 在 请 求 /应 答 链 上 所 有 缓存 机 制 所 必须 服从 的 规定 ， 可 以 附带 很 多 的 规 
Cache-Control 定 值 


Connection 表示 是 否 需 要 持久 连接 

Date 表示 应 答 消 息 发 送 的 时 间 

Biagina 和 no-cache 值 表示 服务 器 必须 返回 一 个 刷新 后 的 文档 ， 即 使 代理 服务 器 已 
经 有 了 页 面 的 本 地 复制 

Trailer 表示 以 Chunked 编码 传输 的 实体 数据 的 尾部 存在 哪些 头 域 


Transfer-Encoding | 说 明 Trailer 头 域 所 定义 的 尾部 头 域 所 采用 的 编码 


允许 服务 器 指定 一 种 新 的 协议 或 者 新 的 协议 版 本 ， 与 响应 编码 101 (切换 协议 ) 配 
Woe 合 使 用 


Via 由 网 关 和 代理 指出 在 请 求 和 应 答 中 经 过 了 哪些 网 关 和 代理 服务 器 
Warning 用 于 警告 应 用 到 实体 数据 上 的 缓存 操作 或 转换 可 能 缺少 语义 透明 度 


只 有 在 请 求 和 应 答 消息 中 包含 实体 数据 时 ， 才 需要 实体 头 域 。 请 求 消息 中 的 实体 数据 
是 一 些 由 浏览 器 向 Web 服务 器 提交 的 数据 ， 如 在 浏览 器 中 采用 POST 方式 提交 表单 时 ， 浏 
览 器 就 要 把 表单 中 的 数据 封装 在 请 求 消息 的 实体 数据 部 分 。 应 答 消息 中 的 实体 数据 是 Web 
服务 器 发 送 给 浏览 器 的 媒体 数据 ， 如 网 页 、 图 片 、 文 档 等 。 实 体 头 域 说 明了 实体 数据 的 一 
些 属性 ， 所 有 的 实体 头 域名 称 及 功能 如 表 15-4 所 示 。 


表 15-4 HTTP 实体 头 域 


头 域名 称 功 能 
Allow 列 出 由 请 求 URI 标识 的 资源 所 支持 的 方法 集 
Content-Encoding 说 明 实 体 数据 是 如 何 编码 的 
Content-Language 说 明 实体 数据 所 采用 的 自然 语言 
Content-Length 说 明 实 体 数据 的 长 度 
Content-Location 说 明 实体 数据 的 资源 位 置 
Content-MD5 给 出 实体 数据 的 MD5 值 ， 用 于 保证 实体 数据 的 完整 性 
Content-Range 说 明 分 割 的 实体 数据 位 于 整个 实体 的 哪 一 位 置 
Content-Type 说 明 实体 数据 的 MIME 类 型 
Expires 指定 实体 数据 的 有 效 期 
Last-Modified 指定 实体 数据 上 次 被 修改 的 日 期 和 时 间 


15.1.4 HTTP 协议 数据 包 实例 


HTTP 请 求 与 应 答 消息 可 以 包含 种 类 繁多 的 头 域 ， 各 种 头 域 的 取 值 也 是 多 种 多 样 的 ， 
为 此 功能 非常 丰富 ， 本 书 对 这 些 头 域 的 细节 不 再 详细 解释 ， 感 兴趣 的 读者 可 参考 RFC2616 
规范 。 下 面 通过 几 个 实际 发 生 的 请 求 与 应 答 消息 的 例子 ， 解 释 常 见 头 域 的 具体 作用 

如 图 15-5 所 示 的 是 客户 机 172.16.1.100 访问 域名 daohang.google.cn 时 用 Ethereal 工具 


.324 。 


第 15 章 Web 服务 器 架设 和 管理 


抓 到 的 数据 包 。 编 号 为 1、2、3 的 数据 包 是 DNS 查询 数据 包 ， 客 户 机 172.16.1.100 从 DNS 
服务 器 61.157.177.196 处 查 到 了 域名 daohang.google.cn 的 IP 地 址 是 203.208.37.104。 接 下 
来 的 3 个 数据 4、5、6 表示 客户 机 与 Web 服务 器 203.208.37.104 建立 了 TCP 连接 。 然 后 第 
7 个 数据 包 是 客户 端 发 送 的 HTTP 请 求 消息 ，Web 服务 器 通过 数据 包 8 确认 收 到 HTTP 请 
求 消息 包 ， 然 后 通过 数据 包 9 发 送 了 一 个 应 答 消息 ， 后 面 的 数据 包 10、12、13、15、17、 
18、20、22、23 都 是 依次 接 在 数据 包 9 后 面 的 应 答 消息 的 实体 数据 , 而 数据 包 11、14、16、 
19、21、24 都 是 客户 端 收 到 数据 包 的 TCP 确认 包 。 


国 VMware vinual Bhemet Adapterc \Device\NPF (BEFDF323-C274-48CC-AGBA-F98228A19.. [ES 


He Edt View Go Capture Anayze Statstics Telephony Tooks Intemas Help 
CT QQQ 


Fiker ~ | Expression.. Clear Apply » 
INo. Time 一 Destinetion Protocol tength Info 


22 20.737043000 132.168.127.134 192.168.127: 地 Tcp 多 hrrp > 


901 p> 
28 20.797752000 192.168.127.134 a 1514 [rcP se 
29 20.797834000 192.168.127.134 192.168.127.100 TCP 1514 [TcP se 


30 20.797855000 192.168.127.100 192.168.127.134 TCP 54 5732 > 
31 20.797923000 192.168.127.134 192.168.127.100 HTTP 1318 HTTP/1. 
32 20.798135000 192.168.127.100 192.168.127.134 Tp 54 5732 > = 
33 20.798894000 192.168.127.134 192.168.127.100 到 54 hrrtp > 
34 20.798939000 192.168.127.100 192.168.127.134 TCP 54 5732 > | 
35 21. 964398000 192.168.127.134 124.40.42.23 Tp 54 49867 > 
36 21.964500000 124.40.42.23 192.168.127.134 TCP 54 hrrp > 
37 21.979982000 192.168.127.134 124.40.42.23 Tp 74 49868 > 
38 22.980145000 192.168.127.134 124.40.42.23 Tp 74 49868 > 
39 23.013000000 124.40.42.23 192.168.127.134 Tp 58 http > 
40 23.013132000 192.168.127.134 124.40.42.23 Tp 54 49868 > 
41 23.017263000 192.168.127,134 124.40.42,23 HTTP 126 GET /cg 
42 23.017341000 124.40.42.23 192.168.127.134 en 54http> . 
43 33 1NOAAANNN 3434 AN 43 33 Yon Yee 133 134 un E47 urn 


和 ) 


而 Frame 26: 835 bytes on wire (6680 bits), 835 bytes captured (6680 bits) on 11 ~ 
田 Ethernet II, Src: Vmware_c0:00:08 (00:50:56:c0:00:08), Dst: vmware_de:f1:2b ,© 
田 Internet protocol Version 4, src: 192.168.127.100 (192.168.127.100), Dst: 19; 

9 Transmission Control Protocol, src Port: 5732 (5732), Dst Port: http (80), si~ 


0000 00 Oc 志和 de 3 00 50 56 co 00 08 08 00 45 00 Py ER E. 


0040 2f 31 2e 31 0d Oa 41 63 63 65 70 74 3a 20 69 6d 


1_57 FS IF S270N 32= IN 61 IN IN Sr Sn £2 


© 您 : EEC Pa Profies Defaut (copy) 


图 15-5 ”Etherel 工具 抓 到 的 HTTP 数据 包 
可 以 进一步 查看 HTTP 请 求 消息 ， 即 数据 包 7 的 内 容 。 如 图 15-6 所 示 ， 方 框 内 的 符号 


是 数据 包 7 的 文本 显示 ， 去 掉 无 关 的 卫 、TCP， 以 及 Cookie 数据 后 ， 再 经 整理 ， 实 际 的 请 


求 消息 内 容 如 下 所 示 。 


GET / HTTP/1.1 
Accept: */* 


Accept-Language: 


// 使 用 GET 方法 得 到 URI 为 "/" 的 资源 ,HTTP 版 本 为 1 .1 
// 接 受 所 有 媒体 类 型 


zh-cn // 接 受 简体 中 文 语言 


Accept-Encoding: gzip, deflate // 可 以 接受 的 压缩 格式 是 采用 deflate 算法 的 


//gzip 格式 
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; windows NT 5.1; SV1) 
// 客 户 端 浏览 器 的 类 型 
Host: daohang.google.cn // 初 始 URL 的 主机 是 daohang.google.cn 
Connection: keep-Alive // 采 用 持久 TCP 连接 
Cookie= ne //Cookie 数据 


在 以 上 消息 中 ，URI 是 “/” 的 主机 域 由 Host 头 域 指定 ， 资 源 名 称 采 用 由 Web 服务 器 
指定 的 默认 名 称 ， 一 般 为 index.html 等 。“Accept-Encoding: gzip, deflate” 表 示 浏 览 器 可 以 
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国 VMware Virtual Ethemet Adapter \Device\NPF_{BEFDF323-C274-48CC-A6BA-F9B822B.. [EGGNIEES 
Fle Edt View Go Capture Anayze Statstics Telephony Toos Jntemak Hep 


曲 抽 信人 册 | 已 回 其 多 器 /外 外 怨 于 于 | 国 国 QQQ > 


Fiker: ~ | Expression.. Clear » 
No. Time Source Destination Protocol Length Info « 
5 3.993945000 192.168.127.134 192.168.127.100 TCP 66 http 


6 3.993978000 192.168.127.100 192.168.127.134 TP 54 6025 

7 3. 996682000 192.168.127.100 192.168.127.134 旦 
192.168.127.134 192.168.127.100 tp | 

fe80: :alf7:c10:7a98ff02: :Cc SSsDP 208 M-SE, 

192.168.127.134 192.168.127.100 TP 1514 [TCP 

192.168.127.134 192.168.127.100 TP 1514 [TCP 


192.168.127.100 192.168.127.134 TP 54 6025 
192.168.127.100 HTTP 1318 HTTP, 
192.168.127.100 TP 54 http - 


41 攻 » 


四 Frame 7: 584 bytes on wire (4672 bits), 584 bytes captured (4672 bits) on 
Ethernet II, Src: Vmware_c0:00:08 (00: 6:c0:00:08), Dst: Vmware_de:f: 
127.100 (192.168.127.100), Ds 
@ Transmission Control Protocol, Src Port: 6025 (6025), Dst Port: http (8 


8b 40 00 80 06 


N. .~P. 
T /_HTTP 
(条 Cc cept: im | 
6a 70 65 67 2c 20 61 70 70 6c 69 63 age/jpeg , applic | 
6e 2f 78 2d 6d 73 2d 61 70 70 6¢c 69 ation/x- ms-appli | 
6f 6e 2c 20 69 6d 61 67 65 2f 67 69 cation, image/ i 
70 70 6c 69 63 61 74 69 6f 6e 2f 78 f, appii cat cn} 
78 6d 6c zc 20 69 6d 61 67 65 2f 70 aml+xml， image/p 
2c 20 61 70 70 6c 69 63 61 74 69 6f jpeg，ap plicatio 
6d 73 2d 78 62 61 70 2c 20 61 70 70 nNn/x-ms-x bap, app 


图 15-6 HTTP 请 求 行 的 具体 内 容 


接受 采用 deflate 算法 的 gzip 压缩 格式 , 以 后 服务 器 传送 实体 数据 时 , 可 以 采用 这 种 方式 进 
行 压缩 ， 以 减少 传输 时 间 。 

Cookie 是 一 个 扩展 头 域 , 得 到 了 目前 大 部 分 浏览 器 和 Web 服务 器 的 支持 。 它 可 以 把 与 
某 一 Web 服务 器 有 关 的 客户 端 数据 存放 在 客户 端 ， 以 后 再 访问 这 个 Web 服务 器 时 ， 这 些 
数据 会 自动 放 在 Cookie 头 域 中 传送 给 Web 服务 器 。 

如 图 15-7 所 示 的 是 数据 包 9， 也 就 是 HTTP 应 答 消息 的 具体 内 容 。 方 框 内 的 符号 是 数 
据 包 7 的 文本 显示 ， 去 掉 无 关 的 IP、TCP 及 实体 数据 后 ， 再 经 整理 ， 实 际 的 应 答 消息 内 容 
如 下 所 示 。 


HTTP/1.1 200 OK // 应 答 行 ，HTTP 版 本 为 1.1, 应 答 代码 为 200, 文本 提示 为 "OK" 
Date: Sat，15 NOV 2008 04:26:47 GMT // 服 务 器 发 送 应 答 消息 时 的 时 间 
Content-Type: text/html // 实 体 数据 的 媒体 类 型 

Server: shallowdirectory // 服 务 器 的 类 型 提示 
Transfer-Encoding: chunked // 实 体 数 据 采 用 chunked 编码 方式 传输 
Content-Encoding: gzip // 实 体 数据 的 压缩 方式 


Cache-Control: private，x-gzip-ok=""  ”// 说 明 cache 的 一 些 属性 


媒体 类 型 是 指 实体 部 分 所 传送 的 数据 类 型 ， 用 于 告诉 对 方 用 哪 一 种 应 用 程序 对 这 些 数 
据 进行 处 理 。 例 如 ，texthtml 表示 html 类 型 的 文本 文件 ， 默 认 时 使 用 浏览 器 打开 ， 
application/word 表示 是 Word 文档 等 。 


全 注意 : 包含 有 实体 数据 的 应 答 行 都 要 告诉 客户 端 实体 数据 的 媒体 类 型 ， 以 便 客 户 端 能 正 
确 处 理 这 些 数 据 。 
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国 VMware Virtual Ethernet Adapter \Device\NPF_{BEFDF323-C274-48CC-A6BA-F9B22B.. En 局 

He Edt Vew Go Capture Anayze Statistics Telephony Toos Intemas Hep 

到 抽 B 半 | 蝗 回 光 多 是 | 人 9 四 : 昌 辐 QQQ 

Filter: | Epression.. Clear » 
Source Destination Protocol Ta Info 

Cavvv eo scrtuu Lar Lor se wo Wawra ep tam ~ 

i060000 192. 168. 127.134 192.168. 127- 100 Tcp 66 http > 6026 [SYN， 


1094000 192.168.127.100 192.168.. 2 134 TCP 54 6026 > http [ACK] 
192.168.127.100 9 450 GET /icons, a 


192.168.127.134 可 py 54 
717000 192.168.127.134 192.168.127.100 TCPp 1514 rcp segment 0 
812000 192.168.127.134 192.168.127.100 HTTP 648 HTTP/1.1 200 OK 


839000 192.168.127.100 192.168.127.134 TCP 54 6026 > http [ACK] 
1007000 192.168.127.134 192.168.127.100 en 54 http > 6026 [FIN, 
j027000 192.168.127.100 192.168.127.134 TCp 54 6026 > http [Ack] 
574000 192.168.127.100 192.168.127.134 TCP 54 6026 > http [FIN, 


908000 192.168.127.134 © 192.168.127.100 Tp 54 http > 6026 [Ack] - 
:alf7:c10:7a98ff02::cC SSDP 208 M-SEARCH ® HTTP/1 - 
Te 2 ea ne we 
Frame 21: 450 bytes on wire (3600 bits), 450 bytes captured (3600 bits) on 1 
9 Ethernet II, src: Vmware_c0:00:08 (00:50:56:c0:00:08), Dst: Vmware_de:f1:2b 
Internet prorocol Version 4, Src: 192.168.127.100 (192.168.127.100), Dst: 19| 
m Transmission Control Protocol, Src Port: 6026 (6026), Dst Port: http (80), 5 
Hyperrext Transfer Protocol 


um + 


0 00 Oc 29 de fi 2b 00 50 56 cO 00 08 08 00 45 00 


7 bb 7b 8 
40 29 97 44 00 00 47 45 54 20 2f 69 63 6f 6e 73 


68 74 74 70 3a 2f 2f 31 39 32 2e 31 36 38 2e 31 
32 37 2e 31 33 34 2f 0d 0a 41 63 63 65 70 74 2d 27. a 
‘4c 61 6e 67 75 61 67 65 3a 20 7a 68 2d 43 4e 0d Language : zh-CN. 
0a 55 73 65 72 2d 41 67 65 6e 74 3a 20 4d 6f 7a .User- 3 ent: Moz 

Sc 6c 61 2f 34 2¢ 30 20 28 63 6f 6d 70 61 74 i11a/4. (compar 


2n_ak 


55 FF ss Fh jn 13 52 ho 4s Nn 27 325 20 28 20 
@ Fle: "C\Users\yzbe-8\AppData\Loca\Tem... Pa... Profie: Defaukt (copy) 


图 15-7 HTTP 应 答 行 的 具体 内 容 


Chunked 编码 使 用 若干 个 Chunk 串 连 而 成 ， 由 一 个 标明 长 度 为 0 的 chunk 标示 结束 。 
每 个 Chunk 分 为 头 部 和 正文 两 部 分 ， 头 部 内 容 指定 下 一 段 正文 的 字符 总 数 〈 十 六 进 制 的 数 
字 ) 和 数量 单位 (一般 不 写 )， 正 文部 分 就 是 指定 长 度 的 实际 内 容 ， 两 部 分 之 间 用 回 车 换行 
(CRLF) 隔 开 。 在 最 后 一 个 长 度 为 0 的 Chunk 中 的 内 容 是 称 为 footer 的 内 容 ， 是 一 些 附加 
的 Header 信息 (通常 可 以 直接 忽略 )。 

HTTP 的 缓存 机 制 相当 复杂 ， 这 里 不 再 袭 述 ， 有 兴趣 的 读者 可 以 参阅 RFC2616 规范 。 


15.1.5 持久 连接 和 非 持久 连接 


浏览 器 与 Web 服务 器 建立 TCP 连接 后 ， 双 方 就 可 以 通过 发 送 请 求 消息 和 应 答 消 息 进 
行 数据 传输 。 在 HTTP 协议 中 ， 规定 TCP 连接 既 可 以 是 非 持久 的 ， 也 可 以 是 持久 的 ， 具体 
采用 哪 种 连接 方式 ， 可 以 由 通用 头 域 中 的 Connection 头 域 指定 。 在 HTTP 1.0 版 本 中 ， 默 
认 使 用 的 是 非 持久 连接 ，HTTP 1.1 默认 使 用 的 是 持久 连接 。 


1. 非 持久 连接 


为 了 解释 什么 是 非 持久 连接 ， 下 面 先 看 一 个 例子 。 假 设 在 非 持久 连接 的 情况 下 从 服务 
器 向 客户 端 传送 一 个 Web 页 面 ， 该 页 面 由 一 个 基本 HTML 文件 和 10 个 JPEG 图 像 构成 ， 
而 且 所 有 这 些 对 象 文 件 都 存放 在 同一 台 服 务 器 主机 中 ， 再 假设 该 基本 HTML 文件 的 URL 
为 http:/www.example.cn/somepath/index.html。 则 传输 步骤 如 下 所 示 。 

(1) HTTP 客户 端 初始 化 一 个 与 主机 www.example.cn 中 的 Web 服务 器 的 TCP 连接 ， 
Web 服务 器 使 用 默认 端口 号 80 监听 来 自 HTTP 客户 端的 连接 建立 请 求 。 

(2) HTTP 客户 端 经 由 与 TCP 连接 相关 联 的 本 地 套 接 字 发 出 一 个 HTTP 请 求 消息 ， 这 


“327， 


第 3 篇 Linux 常见 服务 器 架设 


个 消息 中 包含 路 径 名 /somepath/index.html。 

(3) Web 服务 器 经 由 与 TCP 连接 相关 联 的 本 地 套 接 字 接收 这 个 请 求 消息 , 再 从 服务 器 
主机 的 内 存 或 硬盘 中 取出 对 象 /somepath/index.html， 经 由 同一 个 套 接 字 发 出 包含 该 对 象 的 
应 答 消 息 。 

(4) Web 服务 器 告知 本 机 的 TCP 协议 栈 关闭 这 个 TCP 连接 (但 TCP 协议 栈 要 到 客户 
端 收 到 刚才 这 个 应 答 消息 之 后 才 会 真正 终止 这 个 连接 )。 

(5) HTTP 客户 端 经 由 同一 个 套 接 字 接 收 这 个 应 答 消息 ，TCP 连接 就 断 开 了 。 

(6) 客户 端 根 据 应 答 消息 中 的 头 域内 容 取 出 这 个 HTML 文件 ， 从 中 加 以 分 析 后 发 现 其 
中 有 10 个 JPEG 对 象 的 引用 。 

(7) 客户 端 重复 步骤 (1) 一 (5)， 从 服务 器 得 到 所 引用 的 每 一 个 JPEG 对 象 。 

上 述 步骤 之 所 以 称 为 使 用 非 持 久 连 接 , 原因 是 每 次 服务 器 发 出 一 个 对 象 后 , 相应 的 TCP 
连接 就 被 关闭 ， 也 就 是 说 每 个 连接 都 没有 持续 到 可 用 于 传送 其 他 对 象 。 每 个 TCP 连接 只 用 
于 传输 一 个 请 求 消息 和 一 个 应 答 消 息 。 就 上 述 例 子 而 言 ， 用 户 每 请 求 一 次 那个 Web 页 面 ， 
就 会 产生 11 个 TCP 连接 。 

实际 上 ， 客 户 端 还 可 以 通过 并 行 的 TCP 连接 同时 取得 其 中 某 些 JPEG 对 象 ， 这 样 可 以 
大 大 提高 数据 传输 速度 ， 缩 短 响 应 时 间 。 目 前 的 浏览 器 允许 用 户 通过 配置 来 控制 并 行 连接 
的 数目 ， 大 多 数 浏览 器 默认 可 以 打开 5 到 10 个 并 行 的 TCP 连接 ， 每 个 连接 处 理 一 个 请 求 / 
应 答 事务 。 

非 持 久 连 接 有 些 缺 点 。 首 先 ， 客 户 端 需要 为 每 个 待 请 求 的 对 象 建立 并 维护 一 个 新 的 连 
接 。 对 于 每 个 这 样 的 连接 , TCP 都 需要 在 客户 端 和 服务 器 端 分 配 TCP 缓冲 区 ,并 维持 TCP 
变量 。 对 于 有 可 能 同时 为 来 自 成 千 上 万 个 不 同 客户 端的 请 求 提供 服务 的 Web 服务 器 来 说 
这 会 严重 增加 其 负担 。 另 外 ， 建 立 TCP 连接 时 需要 时 间 ， 在 频繁 建立 TCP 连接 的 情况 下 
所 积累 的 时 间 也 是 相当 可 观 的 。 最 后 ，TCP 协议 还 有 一 种 组 启动 的 功能 ， 这 也 要 浪费 一 定 
的 时 间 。 当 然 ， 采 用 并 行 TCP 连接 时 能 够 部 分 减轻 TCP 创建 延迟 和 组 启动 延迟 的 影响 。 


2. 持久 连接 


持久 连接 是 指 服务 器 在 发 出 响应 后 可 以 让 TCP 连接 继续 打开 着 ， 同 一 对 客户 端 /服务 
器 之 间 的 后 续 请 求 和 响应 都 可 以 通过 这 个 连接 继续 发 送 。 不 仅 整个 Web 页 面 (包含 一 个 基 
本 HTML 文件 和 所 引用 的 对 象 ) 可 以 通过 单个 持久 的 TCP 连接 发 送 ， 而 且 存放 在 同一 个 
服务 器 中 的 多 个 Web 页 面 也 可 以 通过 单个 持久 TCP 连接 发 送 。 从 图 15-5 中 也 可 以 看 出 ， 
Web 服务 器 发 送 完 应 答 消 息 后 ，TCP 还 处 于 连接 状态 ， 说 明 采 用 的 是 持久 连接 。 


全 说 明 : Web 服务 器 在 某 个 连接 闲置 一 段 特 定时 间 后 将 关闭 它 ， 而 这 段 时 间 通常 是 可 以 配 
置 的 。 


持久 连接 分 为 不 带 流水 线 和 带 流水 线 两 种 方式 。 如 果 是 不 带 流水 线 的 方式 ， 那 么 客户 
端 只 在 收 到 前 一 个 请 求 的 应 答 后 才 发 出 新 的 请 求 。 在 这 种 情况 下 ， 服 务 器 送出 一 个 对 象 后 
开始 等 待 下 一 个 请 求 ， 而 这 个 新 请 求 却 不 能 马上 到 达 ， 这 段 时 间 服 务 器 资源 便 闲 置 了 。 

HTTP 1.1 的 默认 模式 是 使 用 带 流水 线 的 持久 连接 。 这 种 情况 下 ，HTTP 客户 端 每 磁 到 
个 引用 就 立即 发 出 一 个 请 求 ， 因 而 HTTP 客户 端 可 以 一 个 接 一 个 紧 挨 着 发 出 对 各 个 引用 
对 象 的 请 求 。 服 务 器 收 到 这 些 请 求 后 ， 也 可 以 一 个 接 一 个 紧 挨 着 发 送 各 个 对 象 。 与 非 流水 


"328。 


第 15 章 Web 服务 器 架设 和 管理 


线 模式 相 比 ， 流 水 线 模式 的 效率 要 高 得 多 。 
15.2 Apache 的 安装 与 运行 


随 着 网 络 技术 的 普及 、 应 用 和 Web 技术 的 不 断 完善 ,Web 服务 已 经 成 为 互联 网 上 最 重 
要 的 网 络 服务 之 一 。 原 有 的 客户 端 /服务 器 模式 正 逐 渐 被 浏览 器 /服务 器 模式 所 取代 。 下 面 
介绍 用 得 最 为 广泛 的 Web 服务 器 软件 一 一 Apache， 以 及 它 的 安装 与 运行 。 


15.2.1 Apache 简介 


Apache 源 自 美国 NCSA (National Center for Supercomputer Applications， 国 家 超级 计 
算 机 应 用 中 心 ) 所 开发 的 httpd， 是 一 种 开放 源 代码 的 软件 。1994 年 中 期 ， 许 多 Web 服务 
管理 员 根 据 自己 的 需要 自行 修改 httpd 软件 ， 他 们 相互 之 间 也 通过 电子 邮件 交流 各 种 各 样 
的 软件 补丁 (patche)。1995 年 2 月 底 ，8 位 核心 贡献 者 成 立 了 最 初 的 Apache 组 织 ( 取 自 A 
PAtCHE)，1995 年 4 月 ，Apache 0.6.2 公布 。 

从 1995 年 5 月 到 7 月 ，Apache 组 织 开 发 了 一 种 名 为 Shambhala 的 服务 器 架构 ， 并 把 
它 应 用 到 Apache 服务 器 上 。 同 年 8 月 ， 推 出 了 Apache 0.8.8， 获 得 了 巨大 的 成 功 。 在 不 到 
一 年 的 时 间 里 ，Apache 服务 器 的 装机 数 超过 了 NCSA 的 httpd, 成 为 Internet 上 排名 第 一 的 
Web 服务 器 。 

Netcraft 有 关 Web 服务 器 使 用 率 的 统计 (http://www.netcraft.com/) 显示 ， 自 1996 年 4 
月 以 后 ，Apache 就 成 为 了 Web 服务 器 领域 应 用 最 为 广泛 的 软件 。 而 在 此 之 前 ， 使 用 最 广 
泛 的 是 NCSA 的 Web 服务 器 ， 它 实际 上 就 是 Apache 的 前 身 。 

从 2000 年 开始 ，Netcraft 尝试 只 计算 那些 “活跃 ”的 Web 站 点 ， 因 为 很 多 Web 站 点 
被 创建 以 后 并 未 被 使 用 。 很 显然 ， 这 种 统计 方式 更 能 反映 实际 的 情况 。2006 年 6 月 的 数据 
显示 Apache 占据 了 61.25% 的 市 场 份额 ,IIS 占据 了 29.71%, 而 Sun 的 份额 是 1.53%，Zeus 
的 份额 是 0.62%。 


全 说 明 : 据 最 新 统计 ，2008 年 10 月 ，Apache 依然 占据 着 一 半 以 上 的 Web 服务 器 市 场 。 


Apache 的 主要 特征 如 下 所 示 。 

口 支持 HTTP/1.1 协议 : Apache 是 最 先 使 用 HTTP/1.1 协议 的 Web 服务 器 之 一 , 它 完 
全 实现 HTTP/1.1 协议 并 与 HTTP/1.0 协议 向 后 兼容 。 

口 支持 通用 网 关 接 口 (CGI) : Apache 使 用 mod_cgi 模块 来 支持 CGI 功能 。 在 遵守 
CGL1.1 标准 的 同时 还 提供 了 扩充 的 特征 ， 如 定制 环境 变量 功能 以 及 很 难 在 其 他 
Web 服务 器 中 找到 的 调试 支持 功能 。 

口 支持 HTTP 认证 : Apache 支持 基于 Web 的 基本 认证 , 它 还 为 支持 基于 消息 摘要 的 
认证 做 好 了 准备 。Apache 可 以 使 用 标准 的 密码 文件 ， 也 可 以 通过 对 外 部 认证 程序 
的 调用 来 实现 基本 的 认证 功能 。 

口 集成 的 Perl 语言 : Perl 已 成 为 CGI 脚本 编程 的 基本 标准 , 这 与 Apache 的 支持 是 分 
不 开 的 。 通 过 mod_perl 模块 的 调用 ，Apache 可 以 将 基于 Perl 的 CGI 脚本 装 入 内 
存 ， 并 可 以 根据 需要 多 次 重复 使 用 该 脚本 ， 从 而 消除 了 执行 解释 性 语言 时 的 启动 
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开销 。 

口 集成 的 代理 (Proxy) 服务 器 : Apache 可 作为 前 向 代理 服务 器 ， 也 可 作为 后 向 代理 
服务 器 。 

口 Apache 在 监视 服务 器 本 身 状 态 和 记录 日 志方 面 提供 了 很 大 的 灵活 性 ， 可 以 通过 
Web 浏览 器 来 监视 服务 器 的 状态 ， 也 可 根据 自己 的 需要 来 定制 日 志 。 

口 支持 虚拟 主机 : 即 通过 在 一 个 机 器 上 使 用 不 同 的 主机 名 来 提供 多 个 HTTP 服务 。 
Apache 支持 包括 基于 全、 名 字 和 Port 3 种 类 型 的 虚拟 主机 服务 。 

口 Apache 的 模块 可 以 在 运行 时 按 需 动态 加 载 ， 避 免 了 不 需要 的 程序 代码 占用 内 存 
空间 。 

口 支持 安全 Socket 层 (SSL) 。 

口 用 户 会 话 过 程 的 跟踪 能 力 : 通过 使 用 HTTP Cookies， 一 个 称 为 mod_usertrack 的 
Apache 模块 可 以 在 用 户 浏览 Apache Web 站 点 时 对 其 进行 跟踪 。 

口 支持 Java Servlets: Apache 的 mod_jserv 模块 支持 Java Servlets， 这 项 功能 可 以 使 
Apache 服务 器 支持 Java 应 用 程序 。 

口 支持 多 进程 : 当 负载 增加 时 ， 服 务 器 会 快速 生成 子 进程 来 应 对 ， 从 而 提高 系统 的 
响应 能 力 。 


15.2.2 Apache 软件 的 获取 与 安装 


在 Red Hat Enterprise Linux 6 下 安装 Apache 服务 器 可 以 有 两 种 方式 ， 一 种 是 源 代 码 方 
式 安装 ， 另 一 种 是 RPM 软件 包 方 式 安装 。 源 代码 可 以 从 http://httpd.apache.org 处 下 载 ， 目 
前 最 新 的 版 本 是 2.4.3 版 , 文件 名 是 httpd-2.4.3.tar.gz。RHEL 6 自 带 的 Apache 版 本 是 2.2.15 
版 ， 文 件 名 是 httpd-2.2.15-15.el6_2.1.i686.rpm。 

首先 看 RPM 方式 安装 。 如 果 安 装 RHEL 6 系统 的 时 候 没 有 选择 安装 httpd-2.2.15-15.el6_ 
2.1.i686 包 ， 需 要 从 安装 光盘 把 相应 文件 复制 到 当前 目录 以 后 ， 再 用 以 下 命令 安装 。 


# rpm -ivh httpd-2.2.15-15.e16 2.1.i686.rpm 


安装 成 功 后 ， 几 个 重要 的 文件 分 布 如 下 所 示 。 
/etc/httpd/conf/httpd.conf: Apache 的 主 配置 文件 。 
/etc/httpd/logs: Apache 日 志 的 存放 目录 。 
/etc/httpd/modules: Apache 模块 存放 目录 。 
/usr/lib/httpd/modules: 同样 ，Apache 模块 在 该 目录 也 存放 。 
/usr/sbin/apachectl: Apache 控制 脚本 ， 用 于 Apache 的 启动 、 停 止 和 重启 等 操作 。 
/usr/sbin/httpd: Apache 服务 器 的 进程 程序 文件 。 
/usr/share/doc/httpd-2.2.15: Apache 说 明文 档 目 录 。 
/varwww: Apache 提供 的 一 个 例子 网 站 。 
男 外， 安装 光盘 上 还 有 Apache 的 帮助 手册 包 ， 名 为 httpd-manual-2.2.15-15.el6 2.1. 
noarch.rpm， 可 以 用 以 下 命令 安装 。 


# rpm -ivh httpd-manual-2.2.3-6.e15.i386.rpm 


安装 完成 后 , 在 /Var/www/manual 日 录 下 会 出 现 网 页 文件 形式 的 帮助 手册 。 这些 网 页 和 
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Apache 的 例子 网 站 结合 在 一 起 ， 可 以 在 客户 端 用 浏览 器 访问 。 

如 果 采 用 源 代码 方式 安装 ， 则 下 载 httpd-2.4.3.tar.gz 文件 到 当前 目录 后 , 使 用 以 下 命令 
进行 安装 。 

# rpm -e httpd-2.2.15-15.e16 2.1.i686 // 如 果 安 装 了 2.2.15 包 , 则 先 拆除 


# tar -zxvf httpd-2.4.3.tar.gz // 解 压 源 代码 文件 包 , 到 httpd-2.2.10 目录 中 
# cd httpd-2.4.3 


# ./configure // 产 生 Makefile 文 件 
# make // 由 于 文件 较 多 , 需要 较 长 时 间 
# make install // 把 各 种 文件 复制 到 相应 的 系统 目录 


httpd 进程 运行 时 需要 apache 用 户 身份 ， 所 以 操作 系统 应 该 要 已 经 存在 这 个 用 户 才能 


运行 。 
全 注意 : RHEL 6 安装 完成 后 ，apache 用 户 默认 是 创建 好 的 。 如 果 由 于 某 种 原因 这 个 用 户 
不 存在 了 ， 还 需要 重新 把 它 创建 起 来 。 


15.2.3 Apache 的 运行 

下 面 以 RHEL 6 自 带 RPM 为 例 ， 介 绍 Apache 的 运行 。RPM 包 安 装 完成 后 ，Apache 
使 用 例子 配置 文件 就 可 以 工作 ， 输 入 以 下 命令 启动 httpd 进程 。 

# /usr/sbin/apachectl start 

如 果 想 开机 时 能 自动 运行 Apache， 可 以 建 一 个 Linux 启动 文件 链接 到 /etc/re.d/init.d 目 
录 下 名 为 httpd 的 脚本 文件 。 用 以 下 命令 可 以 查看 httpd 进程 是 否 已 启动 。 


# ps -eaflgrep httpd 
root 413 全 00:00:00 /usr/sbin/httpd 


apache 416 413 0 10:21 ? 00:00:00 /usr/sbin/httpd 
apache Ch kc 0 hd th 3 00:00:00 /usr/sbin/httpd 
apache ALg LO L082 3 00:00:00 /usr/sbin/httpd 
apache al9 AL3 "0 L022L 3 00:00:00 /usr/sbin/httpd 
apache 420 413 0 10:21 ? 00:00:00 /usr/sbin/httpd 
apache A21° a13 OPMLOs2L 00:00:00 /usr/sbin/httpd 
apache 422 A413 OQ T0229% 00:00:00 /usr/sbin/httpd 
apache A233 A13 OO 00:00:00 /usr/sbin/httpd 
root 427 28062 0 10:21 pts/0 00:00:00 grep httpd 

# 


可 以 看 到 ， 初 始 时 系统 中 启动 了 9 个 httpd 进程 ， 其 中 一 个 是 以 root 用 户 的 身份 在 运 
行 ， 另 外 8 个 以 apache 的 用 户 身 份 运行 ， 而 且 是 以 root 身份 二 和 的 那个 进程 的 子 进程 。 
名 说明: 启动 多 个 进程 的 目的 是 为 了 更 好 地 为 客户 端 提供 服务 ， 初 始 进程 的 个 数 可 以 在 配 
置 文件 中 确定 。 
再 输入 以 下 命令 查看 Apache 监听 的 端口 。 
# netstat 1 :80 


tcp 0 Qs 让 他 LISTEN 
# 


可 以 看 到 ，80 号 端口 已 经 处 于 监听 状态 。 另 外 ， 为 了 确保 客户 端 能 够 访问 Apache 服 
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务 器 ， 如 果 防 火 墙 未 开放 80 号 端口 ， 可 以 输入 以 下 命令 打开 TCP80 号 端 


# iptables -I INPUT -p tcp --dport 80 -j ACCEPT 


# iptables -F 


上 述 过 


或 者 用 以 下 命令 清空 防火 墙 的 所 有 规则 。 


会 出 现 Apache 的 测试 页 面 ， 如 图 15-8 所 示 。 


B Test Page for the Apache HTTP Server on Red Hat Enterprise Lint - 


文件 人 
作 v“ 守 “人 合 *“@ 昌 人 台 " 也 


编辑 (E) 视图 (V) 转 到 (G) 


Red Hat Enterprise 


书签 (B) 


This page is used to test the proper operation of the Apache HTTP server after it 
has been installed. If you can read this page, it means that the Apache HTTP 


工具 (T) 设置 (5) 窗口 (W) 


Dhttp, v 


Linux Test Page 


Server installed at this site is working properly. 


If you area member of the 
general public: 


The fact that you are seeing this page 
indicates that the website you just 
visited is either experiencing 
problems, or is undergoing routine 
malntenance. 


If you would like to let the 
administrators of this website know 
that you've seen this page instead of 
the page you expected, you should 
send them e-mail. In general, mail 
sent to the name "webmaster" and 


Wf you are the website 
administrator: 


You may now add content to the 
directory /var/www/html/. Note that 
until you do so, people visiting your 
website will see this page, and not 
your content. To prevent this page 
from ever being used, follow the 
instructions in the file 
/etc/httpd/conf.d/welcome. conf 


You are free to use the image below 
on web sites powered by the Apache 
HTTP Server 


帮助 (H) 


程 完成 后 ， 就 可 以 在 客户 端 使 用 浏览 器 访问 Apache 服务 器 ， 在 了 


E 常 情况 下 ， 


directed to the website's domain 
should reach the appropriate person. eer wy 全 -全 
For example, if you experienced 人 和信 PPACMAE 
problems while visiting 
www.example.com, you should send 
e-mail to "webmaster@example.com". 
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图 15-8 Apache 服务 器 测试 页 


另外 ， 如 果 安 装 了 帮助 手册 包 ， 则 访问 主页 的 /manual 目录 时 ， 会 出 现 如 图 15-9 所 示 
的 手册 页 ， 其 中 包含 了 所 有 Apache 配置 指令 的 解释 。 
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至 此 ，Apache 服务 器 已 经 能 够 正常 地 运行 ， 使 用 的 是 自 带 的 例子 配置 文件 。 通 过 改变 
配置 文件 内 容 ， 可 以 使 Apache 工作 于 不 同 的 状态 。15.3 节 将 讲述 Apache 的 配置 方法 。 


15.3 Apache 服务 器 的 配置 


Apache 服务 器 的 配置 主要 集中 在 一 个 配置 文件 中 ， 其 位 置 和 名 称 是 /etc/httpd/confy 
httpd.conf。 本 节 先 介绍 Apache 提供 的 例子 配置 文件 内 容 ， 再 通过 几 个 例子 讲述 Apache 的 
高 级 配置 ， 包 括 目录 访问 控制 、 用 户 个 人 网 站 配置 、 认 证 与 授权 配置 、 虚 拟 主机 配置 、 日 
志 配 置 、SSL 配置 等 内 容 。 


15.3.1 Apache 全 局 配置 选项 


Apache 的 例子 配置 文件 包含 了 很 多 的 配置 选项 ， 涵 盖 了 Apache 服务 器 大 部 分 的 重要 
功能 。 里 面 的 配置 指令 分 为 全 局 配置 指令 、 主 服务 器 配置 和 虚拟 主机 配置 3 大 部 分 。 下 面 
首先 解释 以 下 例子 配置 文件 中 有 关 全 局 的 配置 指令 ， 它 们 决定 了 Apache 服务 器 的 总 体 性 
能 ， 如 Apache 能 处 理 的 并 发 请 求 数 等 。 

# 当 服 务 器 响应 主机 头 (header) 信息 时 显示 Apache 的 版 本 和 操作 系统 名 称 


ServerTokens OS 


# 设置 服务 器 的 根 目 录 , 以 后 在 配置 文件 中 指定 起 始 符 号 不 是 "/" 的 路 径 时 , 这 个 目录 是 起 始 目 录 
ServerRoot "/etc/httpd" 


# 设置 运行 httpd 进程 时 使 用 的 Pia 文件 的 路 径 和 名 称 
PidFile run/httpd.pid 


# 设置 超时 值 ,表示 TCP 连接 建立 后 如 果 300 秒 后 没有 收 到 或 送出 任何 数据 就 切断 该 连接 
Timeout 120 


#"OFF" 表 示 不 使 用 持久 连接 功能 , 即 在 一 个 TCP 连接 中 只 传送 一 个 请 求 和 一 个 应 答 消息 
# 建议 用 户 将 此 参数 的 值 设置 为 on, 即 改 为 持久 连接 , 可 提高 性 能 
KeepAlive Off 


# 在 使 用 持久 连接 时 ,设置 客户 端 通过 该 连接 发 送 的 最 大 请 求 消息 数 。 如 果 设 为 0, 表示 没有 限制 


MaxKeepAliveRequests 100 


# 在 使 用 持久 连接 功能 时 , 客户 端的 下 一 个 请 求 消息 超过 15 秒 还 未 到 达 , 就 切断 连接 


KeepAliveTimeout 15 


# 设置 使 用 preforkMPM 运行 方式 的 参数 , 此 运行 方式 是 Red Hat 默认 的 方式 
# 它 规定 Apache 运行 时 , 启动 多 少 个 httpd 子 进程 来 处 理 客户 端的 请 求 


<IfModule prefork.c> # 表示 如 果 prefork 模块 已 装载 , 则 予以 启用 
StartServers 8 # 起 始 时 的 httpd 子 进程 总 数 为 8 
MinSpareServers 5 # 最 小 的 空闲 httpd 子 进程 总 数 为 5 
MaxSpareServers 20 # 最 大 的 空闲 httpd 子 进程 总 数 为 20 
ServerLimit 256 # 最 大 的 httpd 子 进程 允许 值 为 256 

MaxClients 256 # 最 大 的 客户 连接 数 为 256 
MaxRequestsPerChild 4000  # 每 一 个 httpd 子 进程 处 理 了 4000 个 请 求 后 要 关闭 
</IfModule> # 模块 定义 结束 


# 与 preworkMPM 类 似 ,但 设置 的 是 线程 数 
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<IfModule worker.c> 


StartServers 2 # 主 控制 进程 生成 2 个 httpd 子 进程 
MaxClients 150 # 最 大 的 客户 连接 数 为 150 
MinSpareThreads 之 5 # 最 小 的 空闲 线程 总 数 为 25 
MaxSpareThreads 75 # 最 大 的 空闲 线程 总 数 为 25 
ThreadsPerChild 2 # 每 个 子 进程 可 产生 25 个 线程 
MaxRequestsPerChild 0 # 每 个 子 进程 处 理 的 最 大 请 求 数 , 0 表示 没有 限制 
</IfModule> 


# 设置 服务 器 的 监听 端口 号 为 80, 可 以 采用 "Listen 12.34.56.78:80" 的 形式 指定 监听 的 本 


地 接口 
Listen 80 


# 加 载 动态 模块 (DSO) 
LoadModule auth basic module modules/mod auth basic.so 
LoadModule auth digest module modules/mod auth digest.so 


LoadModule cgi module modules/mod cgi.so 


# 把 conf.d/ 目 录 下 的 *.conf 内 容 包含 进来 。 注 意 ,根据 以 上 ServerRoot 的 设置 , 实际 应 该 
在 /etc/httpd 目录 下 
# 这 个 目录 中 包含 了 许多 专用 功能 的 配置 ,如 PHP、SSL 等 的 配置 文件 


Include conf.d/* .conf 

# 这 个 指令 只 有 在 mod_status 模块 启用 时 才 有 效 。 表 示 服 务 器 是 否 为 每 一 个 请 求 保持 扩展 状态 的 
轨迹 

# ExtendedStatus On 


# 指定 运行 httpd 子 进程 的 用 户 和 用 户 组 身份 
User apache 
Group apache 


15.3.2 ”Apache 主 服务 器 配置 


Apache 处 理 客户 端的 请 求 时 ， 会 根据 URL 判定 客户 端 是 否 要 访问 虚拟 主机 ， 如 果 不 
是 访问 虚拟 主机 ， 则 认为 是 访问 主 服务 器 。 下 面 是 Apache 例子 配置 文件 中 有 关 主 服务 器 
的 配置 指令 ， 决 定 了 主 服务 器 的 工作 状态 ， 同 时 ， 也 决定 了 后 面 虚拟 主机 的 默认 配置 。 如 
果 在 虚拟 主机 中 也 出 现 了 同样 的 指令 ， 则 会 覆盖 对 应 的 指令 。 

# 管理 员 的 E-mail 地 址 ,会 出 现在 一 些 出 错 页 面 中 


ServerAdmin root@localhost 


# 当 Apache 服务 器 引用 自己 的 URL 时 ,使 用 这 里 指定 的 域名 和 端口 号 。 与 UseCanonicalName 
指令 配合 使 用 


# ServerName www.example.com:80 


# 当 Apache 构建 引用 自己 的 URL 时 , 使 用 客户 端 提供 的 主机 名 和 端口 
# 如 果 打 开 , 则 使 用 由 ServerName 指令 指定 的 主机 名 和 端口 


UseCanonicalName Off 


# 设置 主 服务 器 的 根 文档 路 径 。 路 径 名 由 "/" 开 头 , 不 是 相对 /etc/httpd 目录 


DocumentRoot "/var/www/html" 


# 设置 根 目录 的 访问 控制 权限 


<Directory /> 
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Options FollowSymLinks ## 允许 符号 链接 跟随 ， 访 问 不 在 本 目录 下 的 文件 
AllowOverride None # 不 允许 使 用 目录 中 .htaccess 文件 的 配置 内 容 , 即 不 被 它 覆盖 


</Directory> 


# 设置 主 服务 器 主 目 录 的 访问 控制 权限 , 目录 位 置 应 该 随 DocumentRoot 选项 内 容 的 改变 而 改变 
<Directory "/var/www/html"> 
Options Indexes FollowSymLinks # Indexs 表示 当 在 目录 中 找 不 到 指定 文件 时 ,就 生成 
当前 目录 的 文件 列表 
# FollowSymLinks 表示 允许 符号 链接 跟随 ,访问 不 在 本 目 
录 下 的 文件 
AllowOverride None # 本 目录 的 权限 设置 不 允许 被 目录 下 的 .htaccess 配置 文件 
的 内 容 覆 盖 
Order allow,deny # 指定 先 执 行 Allow (允许 ) 访问 规则 , 再 执行 Deny (拒绝 ) 
访问 规则 
Allow from all # 设置 Allow 访问 规则 , 允许 所 有 连接 


</Directory> 


# 不 允许 用 户 的 个 人 服务 器 
<IfModule mod userdir.c> 
UserDir disable 

</IfModule> 


# 指定 主 服 务 器 的 主页 文件 名 称 。 当 客户 端 访问 服务 器 时 ,将 依次 查找 页 面 index.html、 
index.html .var 
DirectoryIndex index.html index.html .var 


# 每 个 目录 都 可 以 包含 对 本 目录 的 访问 权限 进行 设置 的 文件 , 这 里 指定 这 个 配置 文件 的 名 称 


AccessFileName .htaccess 


# 拒绝 访问 以 .ht 开头 的 文件 , 即 保证 .htaccess 不 被 客户 端 访问 
ies NE 

Order allow,deny 

Deny from all 
</Files> 


# 指定 负责 处 理 MIME 对 应 格式 的 配置 文件 的 存放 位 置 
TypesConfig /etc/mime .types 


# 指定 默认 的 MIME 文件 类 型 为 纯 文本 或 HTML 文件 
DefaultType text/plain 


# 当 mod mime magic.c 模块 被 加 载 时 ,指定 Magic 信息 码 配置 文件 的 存放 位 置 
<IfModule mod mime magic.c> 

MIMEMagicFile conf/magic 
</IfModule> 


# 日 志 中 只 记录 连接 Apache 服务 器 的 客户 端的 IP 地 址 , 而 不 记录 其 主机 名 


HostnameLookups Off 


# 分 发 文件 时 是 否 启用 内 存 映射 功能 , 启用 时 , 在 有 些 操 作 系 统 下 可 以 提高 性 能 
#EnableMMAP off 


# 分 发 文件 时 是 否 启 用 sendfile 内 核 支 持 。 默 认 是 启用 的 ,如 果 使 用 NFS 文件 系统 , 应 该 要 禁用 
#EnableSendfile off 


# 错误 日 志 的 位 置 , 保存 在 /etc/httpd/1logs/error 1og 中 


ErrorLog logs/error log 


rae 
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# 指定 记录 错误 信息 的 日 志 级 别 为 warn 及 以 上 


LogLevel warn 


# 定义 combined、common、referer 和 agent4 种 记录 日 志 的 格式 

LogFormat "%h %1 SU %t \"%r\" g%>S %b \"%{Referer}i\" \"%{User-Agent}i\"" 
combined 

LogFormat "%h %1 %u %t \"%r\" %>s $%b" common 

LogFormat "%{Referer}i -> %U" referer 

LogFormat "%{User-agent}i" agent 


# 指定 访问 日 志 的 位 置 , 日 志 的 格式 采用 上 面 定义 的 common 格式 


# CustomLog logs/access 1og common 


# 如 果 需 要 ,还 可 以 再 采用 referer 和 agent 格式 把 访问 日 志 记 录 在 referer log 和 
agent log 文件 中 

#CustomLog logs/referer log referer 

#CustomLog logs/agent log agent 


# 如 果 只 启用 一 个 访问 日 志 , 可 以 采用 combined 格式 


CustomLog logs/access 1og combined 


# 设置 在 Apache 自身 产生 的 页 面 中 使 用 Apache 服务 器 版 本 的 签名 


ServerSignature On 


# 设置 /var/www/icons/ 目 录 在 URL 中 的 访问 别名 。 即 以 后 在 客户 端 提供 的 URL 中 , "/icons/" 
代表 的 是 
#"/var/www/icons/" 目 录 。 注 意 : 最 后 的 "/" 不 能 省 略 


Alias /icons/ "/var/www/icons/" 


# 设置 /var/www/icons 目录 的 访问 权限 
<Directory "/var/www/icons"> 
Options Indexes MultiViews # MultiViews 表示 使 用 内 容 协商 功能 决定 被 发 送 的 
网 页 的 性 质 
AllowOverride None 
Order allow,deny 
Allow from all 
</Directory> 


# 配置 WebDAV 模块 


埋 


WebDAV (Web-based Distributed Authoring and Versioning) 是 基于 HTTP 1.1 的 
一 个 通信 协议 
它 为 HTTP 1.1 添加 了 一 些 扩展 (就 是 在 GET、POST、HERD 等 几 个 HTTP 标准 方法 以 外 添加 
了 一 些 新 的 方法 ) ,使 得 应 用 程序 可 以 直接 将 文件 写 到 Web Server 上 , 并且 在 写 文件 时 候 可 以 对 
文件 加 锁 
写 完 后 对 文件 解锁 , 还 可 以 支持 对 文件 所 做 的 版 本 控制 。 这 个 协议 的 出 现 极 大 地 增加 了 web 作为 
一 种 创作 媒体 的 价值 。 基 于 WebDAV 可 以 实现 一 些 功能 强大 的 内 容 管理 系统 或 者 配置 管理 系统 
<IfModule mod dav fs.c> 

# Location of the WebDAV lock database. 

DRVLockDB /var/lib/dav/lockdb # 指定 DAV 加 锁 数据 库 文件 的 存放 位 置 
</IfModule> 


埋 


埋 


# 设置 脚本 目录 cGI 的 访问 别名 , URL 中 的 "/cgi-bin/" 代 表 "/var/www/cgi-bin/" 
ScriptAlias /cgi-bin/ "/var/www/cgi-bin/" 


# 设置 cGI 目录 的 访问 权限 


<Directory "/var/www/cgi-bin"> 
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AllowOverride None 

Options None 

Order allow,deny 

Allow from all 
</Directory> 


# 重 定向 链接 。 即 客户 端 提交 的 URL 中 出 现 /foo 时 ,转向 http://www.example.com/bar 


# Redirect Permanent /foo http://www.example.com/bar 


# 设置 自动 生成 目录 列表 的 显示 方式 


# FancyIndexing: 对 每 种 类 型 的 文件 前 加 上 一 个 小 图 标 以 示 区 别 

# VersionSort: 对 同一 个 软件 的 多 个 版 本 进行 排序 

# NameWidth=*: 文件 名 字段 自动 适应 当前 目录 下 最 长 文件 名 

# HTMLTable: 与 FancyIndexing 一 起 使 用 ,构建 一 个 简单 的 HTML 表格 


IndexOptions FancyIndexing VersionSort NameWidth=* HTMLTable 


# 当 使 用 IndexOptions FancyIndexing 之 后 ,配置 下 面 的 参数 ,用 于 告知 服务 器 在 遇 到 不 同 
的 文件 类 型 或 扩展 名 时 采用 MIME 编码 格式 辨别 文件 类 型 并 显示 相应 的 图 标 

AddIconByEncoding (CMP,/icons/compressed.gif) x-compress x-gzip 

AddIconByType (TXT, /icons/text.gif) text/* 

AddIconByType (IMG,/icons/image2.gif) image/* 

AddIconByType (SND,/icons/sound2.gif) audio/* 

AddIconByType (VID,/icons/movie.gif) video/* 


# 当 使 用 IndexOptions FancyIndexing 之 后 ,配置 下 面 的 参数 ,用 于 告知 服务 器 在 遇 到 不 同 
的 文件 类 型 或 扩展 名 时 采用 所 指定 的 格式 并 显示 所 对 应 的 图 标 

RddIcon /icons/binary.gif .bin .exe 

RddIcon /icons/binhex.gif .hqx 


RddIcon /icons/blank.gif ^^BLANKICON^^ 


# 使 用 IndexOptions FancyIndexing 之 后 , 碰 到 无 法 识别 的 文件 类 型 时 显示 此 处 定义 的 图 标 


DefaultIcon /icons/unknown.gif 


# 使 用 IndexOptions FancyIndexing 之 后 ,在 某 些 类 型 的 文件 后 加 一 些 解释 文本 
#AddDescription "GZIP compressed document" .gz 

#AddDescription "tar archive" .ta 

#AddDescription "GZIP compressed tar archive" .tgz 


# 当 服 务 器 自动 列 出 目录 列表 时 , 在 所 生成 的 页 面 之 后 附 上 README .html 的 内 容 
ReadmeName README .html 


# 当 服 务 器 自动 列 出 目录 列表 时 , 在 所 生成 的 页 面 之 前 加 上 HEADER.html 的 内 容 


HeaderName HEADER.html 


# 当 服 务 器 自动 列 出 目录 列表 时 , 下面 的 这 些 文件 不 会 列 出 


IndexIgnore .??* *~ *# HEADER* README* RCS CVS #*,v *,t 


# 设置 网 页 内 容 的 语言 种 类 (浏览 器 要 启用 内 容 协商 ) 
DefaultLanguage nl # 设置 一 种 默认 的 语言 ,没有 指定 语言 的 页 面 采用 该 语言 


# 下 面 加 入 对 各 种 语言 的 支持 


AddLanguage ca .ca 


datangdage zh-CN .zh-cn # 加 入 对 简体 中 文 的 支持 
AddLanguage zh-TW .zh-tw # 加 入 对 繁体 中 文 的 支持 
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# 当 启 用 内 容 协 商 时 , 设置 语言 的 先后 顺序 
LanguagePriority en ca cs da de el eo es et fr he hr it ja ko ltz nl nn no 
pl pt Pt-BR ru sv zh-CN zh-TW 


# Prefer: 当 有 多 种 语言 可 以 匹配 时 ,使 用 LanguagePriority 列表 次 序 的 前 一 项 
# Fallback: 当 没 有 语言 可 以 匹配 时 , 使 用 LanguagePriority 列表 的 第 1 项 


ForceLanguagePriority Prefer Fallback 


# 设置 默认 字符 集 为 UTF-8 
AddDefaultCharset UTF-8 


# 添加 新 的 MIME 类 型 ,会 覆盖 掉 /etc/mime.types 中 的 设 定 
# AddType application/x-tar .tgz 

# AddType application/x-compress .2Z 

# AddType application/x-gzip .gz .tgz 


# 添加 压缩 编码 方式 的 支持 
#AddEncoding x-compress .2 
#AddEncoding x-gzip .gz .tgz 


# 设置 对 特定 扩展 名 的 处 理 方式 

#AddHandler cgi-script .cgi # 把 扩展 名 是 " .cgi" 的 文件 当 作 脚 本 处 理 (还 需要 其 他 
选项 的 支持 ) 

#AddHandler send-as-is asis 

AddHandler type-map var 


#".shtml" 的 MIME 类 型 是 text/html 
AddType text/html .shtml 


# 服务 器 处 理 响应 时 , 把 扩展 名 为 " .shtml" 的 文件 映射 到 过 滤器 INCLUDES 
AddoutputFilter INCLUDES .shtml 


# 用 户 指 定 错误 响应 代码 的 解释 文本 
#ErrorDocument 500 "The server made a boo boo." ## 普通 的 文本 作为 解释 文本 


#ErrorDocument 404 /missing.html # 一 个 网 页 的 内 容 作为 解释 文本 
#ErrorDocument 404 "/cgi-bin/missing handler.pl"  # 一 个 脚本 的 执行 结果 作为 
解释 文本 


#ErrorDocument 402 http://www.example.com/subscription info.html 


# 重 定向 到 另 一 位 置 
# 设置 错误 页 面目 录 的 别名 


Alias /error/ "/var/www/error/" 


<IfModule mod negotiation.c> # 如 果 装 入 了 mod_negotiation 模块 
<IfModule mod include.c> # 如 果 装 入 了 mod_include 模块 
# 设置 /var/www/error 目录 的 访问 权限 
<Directory "/var/www/error"> 
AllowOverride None 
Options IncludesNoExec 
AddOoutputFilter Includes html 
AddHandler type-map var 
Order allow,deny 
Allow from all 
LanguagePriority en es de fr 
ForceLanguagePriority Prefer Fallback 
</Directory> 


# 设置 发 生 错误 时 输出 的 页 面 
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ErrorDocument 400 /error/HTTP_BRAD_REOUEST.html .va 
ErrorDocument 401 /error/HTTP UNRAUTHORIZED.html .var 


# ErrorDocument 506 /error/HTTP VARIANT ALSO VRRIES .html .va 


</IfModule> 
</IfModule> 


# 对 于 特定 的 浏览 器 , 给予 特定 的 响应 

BrowserMatch "Mozilla/2" nokeepalive 

BrowserMatch "MSIE 4\.0b2;" nokeepalive downgrade-1.0 force-response-1.0 
BrowserMatch "RealPlayer 4\.0" force-response-1.0 

BrowserMatch "Java/1l\.0" force-response-1.0 

BrowserMatch "JDK/1\.0" force-response-1.0 


# 解决 某 些 浏览 器 的 bug 引起 的 问题 

BrowserMatch “Microsoft Data Access Internet Publishing Provider" 
redirect-carefully 

BrowserMatch "MS FrontPage" redirect-carefully 

BrowserMatch "^WebDrive" redirect-carefully 

BrowserMatch "^WebDAVFS/1.[0123]" redirect-carefully 

BrowserMatch "^gnome-vfs/1.0" redirect-carefully 

BrowserMatch "^XML Spy" redirect-carefully 

BrowserMatch "^Dreamweaver-WebDAV-SCM]1" redirect-carefully 


# 允许 由 mod_status 模块 产生 状态 报告 
#<Location /server-status> 

# SetHandler server-status 

# Order deny,allow 

# Deny from all 

# Allow from .example.com 
#</Location> 


# mod_info 装载 时 ,设置 远程 服务 器 配置 报告 功能 
#<Location /server-info> 

# SetHandler server-info 

# Order deny,allow 

# Deny from all 

# Allow from .example.com 
#</Location> 


# 启用 代理 服务 器 功能 
#<IfModule mod proxy.c> 
#ProxyRequests On 

#<Proxy *> 

# Order deny,allow 

# Deny from all 

# Allow from .example.com 
#</Proxy> 


# 代理 服务 器 需要 处 理 "Via:" 头 域 功能 


#ProxyVia On 


# 代理 服务 器 启用 Cache 功能 

#<IfModule mod disk cache.c> 

# CacheEnable disk / 

# CacheRoot "/var/cache/mod proxy" 
#</IfModule> 

#</IfModule> 
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以 上 介绍 的 是 主 服 务 器 的 配置 ， 有 关 虚 拟 主机 的 配置 ， 将 在 15.3.6 节 中 介绍 。 
15.3.3 ”目录 访问 控制 


目录 访问 控制 是 指 对 文件 系统 中 的 目录 进行 权限 指定 ， 指 定 哪 一 些 客户 端 可 以 访问 该 
目录 , 哪些 不 行 。 对 于 可 以 访问 的 客户 端 , 还 能 够 指定 客户 端 在 该 目录 中 可 以 做 哪些 操作 ， 
如 列 出 目录 内 容 、 执 行 等 操作 。Apache 可 以 在 主 配置 文件 httpd.conf 中 配置 目录 访问 控制 ， 
但 是 针对 每 个 目录 ，Apache 还 允许 在 它们 各 自 的 目录 下 放置 一 个 叫做 .htacess 的 文件 ， 这 
个 文件 同样 也 能 控制 这 个 目录 的 访问 权限 。 在 主 配置 文件 中 ， 配 置 目 录 访 问 控制 的 配置 指 
令 名 称 与 格式 如 下 : 


<Directory "目录 路 径 "> 
[访问 控制 指令 ] 


</Directory> 

其 中 ， 访 问 控制 指令 可 以 是 以 下 一 些 指令 。 

口 授权 访问 指令 (AuthConfig) : 包括 AuthDBMGroupFile、AuthDBMUserFile、 
AuthGroupFile、AuthName AuthTypeAuthUserFile 和 Require 等 。 

口 文件 控制 类 型 的 指令 (FileInfo) : 包括 AddEncoding、AddLanguage、AddType、 
DefaultType、ErrorDocument、LanguagePriority、AddHandler 和 AddOutputFilter 等 。 

口 目录 显示 方式 的 指令 (Indexes) : 包括 AddDescription、AddIcon、AddIconByEnco- 
ding、AddIconByType、DefaultIcon、DirectoryIndex、FancyIndexing、HeaderName、 


IndexIgnore、IndexOptions 和 ReadmeName 等 。 
口 主机 访问 控制 指令 〈Limit) : 包括 Allow、Deny 和 Order。 
口 目录 访问 权限 的 指令 〈Options) : 包括 Options 和 XbitHack。 
其 中 ，Options 指令 还 可 以 有 以 下 选项 及 功能 。 
口 All: 准许 以 下 除 MultiViews 以 外 所 有 功能 。 
口 None: 禁止 以 下 所 有 功能 。 
口 MultiViews: 允许 多 重 内 容 被 浏览 ， 如 果 目 录 下 有 一 个 叫做 foo.txt 的 文件 ， 那 么 
可 以 通过 /foo 来 访问 到 它 ， 这 对 于 一 个 多 语言 内 容 的 站 点 比较 有 用 。 
Indexes: 表示 若 该 目录 下 无 index 文件 , 则 准许 显示 该 目录 下 的 文件 列表 以 供 选 择 。 
IncludesNOEXEC: 准许 SSI， 但 不 可 使 用 #exec 和 #include 功能 。 
Includes: 准许 SSI。 
FollowSymLinks: 表示 在 该 目录 中 ， 服 务 器 将 跟踪 符号 链接 。 注 意 ， 即 使 服务 器 
跟踪 符号 链接 ， 也 不 会 改变 用 来 匹配 不 同 区 域 的 路 径 名 。 

口 SymLinksIfOwnerMatch: 表示 在 该 目录 中 仅仅 跟踪 本 站 点 内 的 链接 。 

口 ExecCGI: 在 该 目录 下 准许 使 用 CGI。 

另外 ， 每 一 个 目录 中 都 还 可 以 存在 一 个 .htaccess 文件 ，Apache 服务 器 可 以 读 取 该 文 

件 的 内 容 作 为 目录 访问 控制 的 配置 。 用 AllowOverride 指令 可 以 指明 哪些 选项 可 以 
被 .htaccess 文件 的 内 容 履 盖 。 如 果 设 置 为 None， 那 么 服务 器 将 忽略 .htaccess 文件 。 如 果 
设置 为 All， 那 么 所 有 在 .htaccess 文件 里 的 指令 都 起 作用 ， 并 且 将 覆盖 掉 主 配置 文件 中 的 
相应 配置 。 
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由 于 控制 目录 访问 的 指令 比较 多 ， 限 于 篇 幅 ， 此 处 不 详细 解释 。 下 面 只 是 以 Options 
指令 为 例 ， 说 明 目 录 访问 权限 的 设置 。 假 设 在 例子 配置 文件 所 指定 的 主 服 务 器 主 目录 
/var/www/html 下 创建 一 个 目录 mytest， 命 令 如 下 : 


#mkdir /var/www/html/mytest 


则 由 于 在 例子 配置 文件 中 对 /var/www/html 的 目录 访问 权限 做 了 如 下 配置 : 


<Directory "/var/www/html"> 
Options Indexes FollowSymLinks 
AllowOverride None 
Order allow,deny 
Allow from all 

</Directory> 


于 是 mytest 目录 的 访问 权限 默认 要 继承 同样 的 权限 。 假 设 在 mytest 目录 创建 一 个 
test.html 文件 ， 内 容 如 下 : 


# vi /var/www/html/mytest/test.html 
<html> 

<body> 

<hl>This is a test file.</h1> 
</body> 

</html> 


然后 ， 在 客户 端的 浏览 器 中 就 可 以 看 到 这 个 HTML 文件 ， 如 图 15-10 所 示 。 

如 果 在 浏览 器 的 地 址 栏 中 输入 http://192.168.127.134/mytest/， 则 会 到 mytest 目录 中 寻 
找 DirectoryIndex 指令 指定 的 主页 文件 index.html 和 index.html.var， 但 是 这 两 个 文件 都 不 
存在 。 由 于 mytest 目录 继承 了 父 目 录 的 Options Indexes 属性 ， 于 是 ，Apache 会 把 mytest 
目录 中 的 文件 列表 发 送 给 浏览 器 ， 显 示 结 果 如 图 15-11 所 示 。 


[ELIGIEE 同 


< 2 是 hapy/l9216-. 只 - BC XE index of /myest 


= x 
€ © Ey - Bex| Er Index of /mytest 
€ 仿 固 2 
This is a test file. 和 Name Last modified Size Description 
oO Parent Diectory 站 
加 test html 24-Sep-2012 1038 62 


Apache/2.2.15 (Red Hat) Server at 192.168.127.134 Port 80 


图 15-10 例子 HTML 文件 显示 效果 | 图 15-11 mytest 目录 中 的 文件 列表 
如 果 使 Options Indexes 属性 失效 ， 即 在 例子 配置 文件 中 加 入 以 下 配置 指令 : 


<Directory "/var/www/html/mytest"> 
Options None 
Order allow,deny 
Allow from all 
AllowOverride All 
</Directory> 


再 用 以 下 命令 重启 Apache: 


# /usr/sbin/apachectl] restart 


.341 。 


第 3 篇 Linux 常见 服务 器 架设 


然后 再 访问 http:/ 192.168.127.134/mytest/, 则 看 到 的 页 面 如 图 15-12 所 示 , 表示 Apache 
在 mytest 目录 中 找 不 到 主页 文件 , 也 不 允许 列 出 该 i 
目录 中 的 文件 ， 于 是 就 发 送 了 一 个 出 错 页 面 。 RS 


全 注意 ; 如 果 此 时 在 浏览 器 的 地 址 栏 内 输入 http:// |」 Forbidden 
192.168.127.134/mytest/test.html， 即 指定 Mon dss her Poneman lo tnere hyeatl oo is eevee 
了 要 访问 的 网 页 文件 , 则 还 可 以 正常 显示 Apache/2.2.15 (Red Hat) Server at 192.168.127.134 Port 80 
test.html 文件 的 内 容 ， 如 图 15-10 所 示 。 


下 面 再 看 .htaccess 文件 作用 。 假设 在 mytest 目 
录 中 创建 .htaccess 文件 ， 内 容 如 下 : 图 15-12 不 允许 列 出 目录 中 的 文件 


# vi /var/www/html/mytest/.htaccess 
Options Indexes 
则 又 可 以 使 Apache 具有 了 列 出 mytest 目录 中 的 文件 的 权限 ， 访 问 结果 如 图 15-11 所 
示 。 但 是 , 如 果 把 配置 文件 中 “<Directory "/var/www/html/mytest">” 下 的 AllowOverride All 
改 为 AllowOverride None， 即 不 允许 .htaccess 文件 的 配置 覆盖 主 配置 文件 中 对 该 目录 的 配 
置 ， 则 mytest 目录 还 是 Options None， 即 不 允许 列 出 该 日 录 中 的 文件 ， 于 是 访问 http:/ 
192.168.127.134/ 时 ， 又 是 如 图 15-12 所 示 的 结果 。 
下 面 再 看 一 个 客户 端 访问 控制 的 例子 。 客 户 端 访问 控制 有 3 条 指令 ， 其 名 称 和 意义 分 
别 如 下 所 示 。 
口 Order: 用 于 指定 执行 允许 访问 规则 和 执行 拒绝 访问 规则 的 先后 顺序 。 
口 Deny: 定义 拒绝 访问 列表 。 
口 Allow: 定义 允许 访问 列表 。 
Order 指令 有 以 下 两 种 形式 。 
口 Order Allow，Deny: 在 执行 拒绝 访问 规则 之 前 先 执 行 允许 访问 规则 ， 默 认 会 拒绝 
所 有 没有 明确 被 允许 的 客户 。 
口 Order Deny,Allow: 在 执行 允许 访问 规则 之 前 先 执行 拒绝 访问 规则 ， 默 认 会 允许 所 
有 没有 明确 被 拒绝 的 客户 。 


全 注意 : 在 书写 “Allow，Deny” 和 “Deny,Allow” 时 ， 中 间 不 能 添加 空格 字符 。 


Deny 和 Allow 指令 的 后 面 需要 跟 访 问 列表 ， 访 问 列表 有 如 下 几 种 形式 。 
口 All: 表示 所 有 客户 机 。 

口 域名 : 表示 域内 的 所 有 客户 机 ， 如 wzvtc.cn。 

口 IP 地 址 : 可 以 指定 完整 的 IP 地 址 或 部 分 人 P 地址 。 

口 网 络 / 子 网 扒 码 : 如 192.168.1.0/255.255.255.255.0。 

口 CIDR 规范 : 如 192.168.1.0/24。 

接着 上 一 例子 ， 假 设 /var/www/html/mytest 目录 的 访问 控制 配置 如 下 : 


<Directory "/var/www/html/mytest"> 
Order deny,allow 
Deny from all 
Allow from 192.168.127.134 #192.168.127.134 是 例子 中 Apache 服务 器 的 IP 地 址 
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Allow from 127.0.0.1 
AllowOverride None 
</Directory> 


这 样 的 配置 将 使 得 只 有 本 机 IP 才能 访问 mytest 目录 ， 网 络 中 其 他 任何 计算 机 都 不 能 
访问 。 当 在 本 机 和 其 他 计算 机 的 浏览 器 访问 http://192.168.127.134/mytest/test.html 时 ， 其 结 
果 如 图 15-13 和 图 15-14 所 示 。 


全 和 ET 
文件 (F) 编辑 (E) 视图 (V) 转 到 (G) 书签 (B) 工具 (T) > 四 
审 ~ 趾 ~ 全 ~@ 回 俯 v 浊 ohtp v1 Forbidden 


This is a test file. ee 


B http://192.168.127.134/mytest/test.html - K - 口 x 


Apache/2.2.15 (Red Hat) Server at 192.168. 127.134 Port 80 


© 


图 15-13 在 本 机 可 以 访问 mytest 目录 中 的 文件 图 15-14 在 其 他 计算 机 上 不 能 访问 mytest 
目录 中 的 文件 


如 果 Order 语句 中 的 deny 和 allow 次 序 反 一 下 ， 则 所 有 客户 机 的 访问 将 都 不 被 允许 。 
15.3.4 配置 用 户 个 人 网 站 


个 人 网 站 是 指 在 主机 上 拥有 账号 的 用 户 可 以 通过 Apache 服务 器 发 布 自 己 个 人 目录 中 
的 文件 ， 其 访问 方式 为 http://< 主 机 名 >/~< 用 户 名 >/。 例 如 ， 在 192.168.127.134 的 主机 上 有 
-个 test 用 户 ， 则 可 以 通过 http:// 192.168.127.134/~test/ 的 形式 访问 test 用 户 个 人 目录 
/home/test 目录 中 的 一 个 目录 , 即 test 用 户 的 个 人 目录 中 的 一 个 目录 成 了 一 个 网 站 的 主 目录 。 
配置 个 人 网 站 需要 加 载 模块 mod_userdir， 在 例子 httpd.conf 文件 中 ， 其 配置 如 下 : 
<IfModule mod userdir.c> 


UserDir disable 
</IfModule> 


“UserDir disable ”表示 禁用 了 个 人 网 站 功能 ,为 了 使 个 人 网 站 生效 ,需要 的 配置 如 下 : 


<IfModule mod userdir.c> 


UserDir disable root # 基于 安全 考虑 ,禁止 root 用 户 使 用 自己 的 个 人 网 站 
UserDir public html # 配置 对 每 个 用 户 个 人 网 站 主 目录 的 位 置 
</IfModule> 
// 设 置 每 个 用 户 网 站 目录 的 访问 权限 


<Directory /home/*/Public_htm1> 
AllowOverride FileInfo AuthConfig Limit 
Options MultiViews Indexes SymLinks IfOwnerMatch IncludesNoExec 
<Limit GET POST OPTIONS> 
Order allow,deny 
Allow from all 
</Limit> 
<LimitExcept GET POST OPTIONS> 
Order deny,allow 
Deny from all 
</LimitExcept> 
</Directory> 


以 上 配置 中 , 用 户 的 个 人 网 站 主 日 录 是 其 个 人 目录 下 的 public_html，Apache 中 配置 的 
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目录 访问 权限 如 <Directory> 语 句 所 示 ， 用 户 可 以 根据 需要 加 以 改变 。 为 了 测试 以 上 的 配置 
效果 ， 在 操作 系统 中 创建 一 个 用 户 ， 并 在 用 户 的 个 人 目录 下 创建 一 个 public_html 目录 。 

# useradd test 

# cd /home/test 


# mkdir public html 
# 


另外 ， 由 于 用 户 个 人 目录 默认 情况 下 只 有 自己 能 访问 ， 其 他 任何 用 户 是 没有 访问 权限 
的 。 因 此 ， 为 了 让 apache 用 户 能 访问 该 目录 ， 需 要 重新 设置 该 目录 的 访问 权限 ， 使 得 其 他 
用 户 有 访问 权 ， 命 令 如 下 : 

# chmod 711 /home/test 


然后 ， 在 public_html 目录 中 创建 一 个 index.html 文件 ， 内 容 如 下 : 


# vi /home/test/public html/index.html 

<html> 

<body> 

<hl>This file is in test’s work directory.</h1> 
</body> 

</html> 


以 上 工作 全 部 完成 后 ， 就 可 以 在 客户 端的 浏览 器 内 输入 http://192.168.127.134/~test， 
正常 情况 下 ， 将 会 看 到 如 图 15-15 所 示 的 页 面 。 


This file is in test's work directory. 


图 15-15 test 用 户 的 个 人 网 站 主页 
Apache 服务 器 的 个 人 网 站 功能 可 以 为 操作 系统 中 的 用 户 建 立 自己 的 网 站 提供 有 利 的 
条 件 。 当 存在 大 量 用 户 时 ， 这 种 配置 、 使 用 和 管理 方式 将 非常 方便 。 
15.3.5 ”认证 与 授权 配置 
认证 是 指 用 户 通过 浏览 器 访问 某 一 受 保护 资源 时 ， 需 要 提供 正确 的 用 户 名 和 密码 才能 
访问 。 在 Apache 中 支持 两 种 认证 类 型 : 基本 (Basic) 认证 和 摘要 (Digest) 认证 。 摘 要 认 
证 比 基 本 认证 更 加 安全 ， 但 并 不 是 所 有 的 浏览 器 都 支持 摘要 认证 ， 所 以 大 多 数 情况 下 用 户 


只 使 用 基本 认证 。 下 面 介绍 基本 认证 的 配置 方式 ， 如 表 15-5 所 示 。 
表 15-5 Apache 的 认证 配置 指令 
配置 指令 格 式 功 能 
AuthName AuthName ”< 领域 名 称 > 定义 受 保护 领域 的 名 称 
AuthType AuthType <BasiclDigest> 定义 使 用 Basic 或 Digest 认证 方式 
AuthGroupFile AuthGroupFile < 文件 名 > 指定 认证 组 文件 的 位 置 
AuthUserFile AuthUserFile < 文件 名 > 指定 认证 密码 文件 的 位 置 
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上 述 配 置 指令 要 放 在 受 保护 的 领域 中 , 领域 是 由 Directory、Files 或 Location 等 配置 指 
令 指 定 的 目录 、 文件 或 网 络 空 间 容器 。 对 于 目录 容器 , 这 些 指令 也 可 以 放 在 目录 的 .htaccess 
文件 中 ， 并 根据 AllowOverride 指令 决定 是 否 启 用 。 认 证 口令 文件 由 htpasswd 命令 创建 ， 
组 文件 是 一 个 普通 的 文本 文件 ,里 面 的 每 一 行 都 可 以 用 以 下 形式 把 某 些 用 户 归 到 一 个 组 中 。 


组 名 : 用 户 名 用 户 名 

如 果 密 码 文件 不 存在 ， 可 以 用 以 下 命令 创建 密码 文件 并 加 入 用 户 。 

# htpasswd -c < 认证 密码 文件 名 > < 用 户 名 > 

如 果 密 码 文件 已 经 存在 了 ， 可 以 用 以 下 命令 添加 用 户 。 

# htpasswd -c < 认证 密码 文件 名 > < 用 户 名 > 

上 述 两 条 命令 执行 完 后 ， 都 会 提示 输入 两 次 为 新 建 用 户 设 定 的 密码 。 认 证 密码 文件 的 
格式 很 简单 ， 每 一 行 包 含 用 冒号 分 隔 的 用 户 名 和 加 密 的 密码 。 

当 使 用 认证 指令 配置 了 认证 之 后 ， 还 需要 为 指定 的 用 户 或 组 进行 授权 。 为 用 户 或 组 进 
行 授权 的 配置 指令 是 Require， 它 有 3 种 使 用 格式 ， 具 体 如 表 15-6 所 示 。 

表 15-6 ”Require 指令 的 格式 和 功能 


指令 格式 功 能 
Require user < 用 户 名 > [用 户 名 ] …… 授权 给 指定 的 一 个 或 多 个 用 户 
Require group < 组 名 > [组 名 ] …… 授权 给 指定 的 一 个 或 多 个 组 


授权 给 认证 密码 文件 中 的 所 有 用 户 


Require valid-user 


下 面 看 一 个 认证 与 授权 的 配置 例子 。 假 设 以 前 创建 的 /Var/www/html/mytest 目录 和 目录 
中 的 test.html 都 还 存在 ， 如 果 现 在 需要 对 mytest 目录 进行 保护 ， 即 客户 端 只 有 通过 用 户 账 
号 成 功 登录 后 ， 才 能 访问 mytest 目录 中 的 内 容 ， 如 test.html 文件 。 则 需要 在 例子 配置 文件 
中 添加 以 下 内 容 (将 15.3.3 节 所 添加 的 配置 指令 去 掉 )。 


<Directory "/var/www/html/mytest"> 


AllowOverride None # 不 使 用 .htaccess 文件 

AuthType Basic # 指定 使 用 基本 认证 方式 

AuthName "myrealm" # 指定 认证 领域 名 称 

AuthUserFile /var/www/passwd/myrealm # 指定 认证 密码 文件 的 存放 位 置 

require valid-user # 把 目录 授权 给 认证 密码 文件 中 的 所 有 用 户 
</Directory> 


再 用 以 下 命令 重启 Apache: 

# /usr/sbin/apachectl] restart 

为 了 测试 结果 ， 还 需要 创建 密码 文件 及 用 户 账号 。 基 于 安全 因素 的 考虑 ， 认 证 密码 文 
件 和 认证 组 文件 都 不 应 该 与 Web 文档 存在 于 相同 的 目录 下 ， 一 般 存放 在 /varwww/ 目 录 或 
其 子 目 录 下 。 现 假设 要 把 密码 文件 放 在 /var/www/passwd 目录 下 , 则 先 创建 该 目录 ， 再 创建 
口令 文件 。 


# mkdir /var/www/passwd 
# cd /var/www/passwd 
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# htpasswd -c myrealm testl 
New password: 

Re-type new password: 

Adding password for user testl 
# htpasswd myrealm test2 

New password: 

Re-type new password: 

Adding password for user test2 
# chown apache myrealm 

# chmod 700 myrealm 

# 


以 上 命令 在 /var/www/passwd 目录 中 创建 了 认证 密码 文件 myrealm, 并 在 其 中 添加 了 两 
个 用 户 testl 和 test2， 这 与 配置 文件 中 的 AuthUserFile 指令 相对 应 。 为 了 安全 起 见 ， 还 把 密 
码 文件 改 成 只 有 apache 用 户 能 访问 。 接 下 来 可 以 用 浏览 器 访问 http://192.168.127.134/ 
mytest/test.html, 由 于 mytest 是 受到 认证 保护 的 , 所 以 会 看 到 如 图 15-16 所 示 的 登录 提示 框 。 


= 


Ee S htp://192.168.127.134/mytesthe P ~ © x | o 192168.127134 “x 人 这 生生。 


Windows 安全 
位 于 myrealm 的 服务 器 192.168.127.134 要 求 用 户 名 和 密码 。 


警告: 此 服务 器 要 求 以 不 安全 的 方式 发 送 您 的 用 户 名 和 客 码 (没有 安全 连接 
的 基本 认证 )。 


图 15-16 访问 受 保护 资源 时 出 现 的 登录 提示 框 


如 果 此 时 输入 用 户 名 testl 和 正确 的 密码 ， 则 能 正常 访问 ， 看 到 如 图 15-10 所 示 结 果 。 
如 果 3 次 认证 都 失败 ， 会 出 现 如 图 15-17 所 示 的 结果 。 


= 


eS he/1921681271.. P - SOX | 全 401 Authorization r.. x RR 


Authorization Required 


This server could not verify that you are authorized to access the document requested. Fither 
you supplied the wrong credentials (e g., bad password). or your browser doesn't 
nderstand how to supply the credentials required 


Apache/2.2.15 (Red Hat) Server at 192.168.127.134 Port 80 


图 15-17 认证 失败 后 出 现 的 页 面 
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外 说 明 : 上 述 的 认证 授权 配置 指令 也 可 以 放 在 mytest 目录 下 .htaccess 文件 中 ， 其 效果 是 一 
样 的 ， 方 法 与 设置 目录 访问 控制 时 类 似 。 


认证 授权 配置 指令 也 可 以 用 在 网 络 空间 容器 Location。Location 与 Directory 的 区 别 是 
Location 是 针对 URL 中 的 路 径 名 , 即使 这 个 路 径 是 映射 到 另 一 个 目录 和 网 络 中 的 其 他 位 置 ， 
而 Directory 针对 的 是 文件 系统 中 的 真实 目录 。 一般 在 指令 作用 于 不 存在 于 文件 系统 的 对 象 
时 ， 例 如 ， 一 个 由 数据 库 生成 的 网 页 要 用 Location 指令 。 

例如 ， 下 面 的 配置 段 会 使 Apache 服务 器 拒绝 任何 以 /private 开头 的 URL 的 访问 ， 如 
http://192.168.127.134/private 、http://192.168.127.134/private123 和 http://192.168.127.134/ 
private/dir/file.html 等 所 有 以 /private 开头 的 URL。 


<Location /private> 
Order Allow,Deny 
Deny from all 

</Location> 


但 此 时 ， 在 文件 系统 中 并 不 一 定 存在 /private 目录 。 
15.3.6 ”虚拟 主机 配置 


虚拟 主机 是 指 在 一 台 机 器 运行 多 个 网 站 。 其 实现 对 客户 端 是 透明 的 ， 即 客户 端 感觉 不 
到 有 多 个 网 站 存在 于 同一 台 服 务 器 。 如 果 每 个 网 站 拥有 不 同 的 卫 地 址 ， 则 称 为 是 基于 IP 
的 虚拟 主机 。 如 果 只 有 一 个 IP 地 址 ， 但 通过 不 同 的 主机 名 访问 不 同 的 网 站 ， 则 称 为 是 基于 
主机 名 或 域名 的 虚拟 主机 。Apache 是 率先 支持 基于 IP 的 虚拟 主机 的 服务 器 之 一 ， 自 1.3 
版 后 ， 对 两 种 方式 的 虚拟 主机 都 提供 了 支持 。 

基于 IP 的 虚拟 主机 存在 于 具有 多 个 网 络 接口 的 主机 ， 每 个 网 络 接口 的 卫 地 址 对 应 着 
一 台 虚 拟 主机 。 此 时 ， 需 要 为 每 台 虚 拟 主机 分 配 一 个 独立 的 一 地址。 而 基于 域名 的 虚拟 主 
机 是 根据 客户 端 提交 的 HTTP 头 域 中 标识 主机 名 的 部 分 决定 的 ， 使 用 这 种 技术 ， 很 多 虚拟 
主机 可 以 共享 同一 个 IP 地 址 。 

基于 域名 的 虚拟 主机 相对 比较 简单 ， 因 为 只 需要 通过 DNS 服务 器 将 每 个 主机 名 映射 
到 正确 的 IP 地 址 ， 然 后 配置 Apache 服务 器 ， 使 其 辨别 不 同 的 主机 名 就 可 以 了 。 基 于 域名 
的 服务 器 也 可 以 缓解 瑟 地址 不 足 的 问题 。 所 以 ， 如 果 没 有 特殊 原因 ， 最 好 还 是 使 用 基于 域 
名 的 虚拟 主机 。 

为 了 使 用 基于 域名 的 虚拟 主机 ， 需 要 使 用 NameVirtualHost 指令 来 进行 配置 ， 该 指令 
后 面 的 选项 可 以 指定 接受 虚拟 主机 请 求 的 服务 器 IP 地 址 和 可 能 的 端口 号 。 如 果 服 务 器 上 所 
有 的 JP 地址 都 接受 虚拟 主机 请 求 ， 可 以 用 “*” 作 为 NameVirtualHost 的 参数 。 例如， 下 面 
的 配置 指令 表示 在 服务 器 所 有 人 P 地 址 的 80 号 端口 接受 虚拟 主机 请 求 。 


NameVirtualHost *:80 


设置 了 NameVirtualHost 配置 指令 后 ， 接 下 来 要 为 每 个 虚拟 主机 建立 <VirtualHost> 段 。 
<VirtualHost> 的 参数 与 NameVirtualHost 的 参数 必须 是 一 样 的。 在 每 个 <VirtualHost> 段 中 ， 

至 少 要 有 一 个 ServerName 指令 来 指定 该 虚拟 主机 服务 于 哪个 域名 ,以 及 一 个 DocumentRoot 

旧 令 来 指明 这 个 主机 的 主 目录 位 于 文件 系统 的 什么 位 置 。 例 如 ， 下 面 的 指令 配置 了 一 台 虚 
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<VirtualHost *#:80> 
ServerAdmin webmaster@dummy-host.example.com  # 出 现在 错误 页 面 中 的 管理 员 
E-mail 
DocumentRoot /www/docs/dummy-host.example.com 
ServerName dummy-host.example.com 
ErrorLog logs/dummy-host.example.com-error log # 指定 错误 日 志 的 位 置 
CustomLog logs/dummy-host.example.com-access 1og common 
# 指定 访问 日 志 的 格式 
</VirtualHost> 

以 上 配置 指定 的 虚拟 主机 服务 于 dummy-host.example.com 域名 ， 即 通过 该 域名 访问 
Apache 服务 器 时 ， 起 作用 的 是 这 人 台 虚 拟 主机 。 至 于 dummy-host.example.com 到 Apache 服 
务 器 的 映射 ， 是 由 DNS 服务 器 实现 的 。 另 外 ， 该 虚拟 主机 的 主 目录 由 DocumentRoot 指令 
设置 在 /www/docs/dummy-host.example.com 目录 中 。 另 外 3 条 指令 的 作用 见 注释 。 

下 面 的 配置 定义 了 两 台 虚 拟 主机 。 

<VirtualHost *:80> 

ServerName www.domain.tld 

ServerAlias domain.tld *.domain.tld 

DocumentRoot /www/domain 

</VirtualHost> 

<VirtualHost *:80> 

ServerName www.otherdomain.tld 

DocumentRoot /www/otherdomain 

</VirtualHost> 

可 以 用 一 个 固定 的 IP 地 址 来 代替 NameVirtualHost 和 <VirtualHos 人 指令 中 的 “*” 号 ， 
以 达到 一 些 特定 的 目的 。 例如， 可 以 在 一 个 IP 地 址 上 运行 一 个 基于 域名 的 虚拟 主机 ， 而 在 
另外 一 个 卫 地 址 上 运行 一 个 基于 IP 的 或 是 另外 一 套 基 于 域名 的 虚拟 主机 。 

很 多 服务 器 希望 自己 能 通过 不 止 一 个 域名 被 访问 ， 这 时 可 以 把 ServerAlias 指令 放 入 
<VirtualHost> 段 中 来 解决 这 个 问题 。 例 如 ， 第 一 个 <VirtualHost> 配 置 段 中 ServerAlias 指令 
后 列 出 的 domain.tld *.domain.tld 就 是 用 户 可 以 用 来 访问 同一 个 Web 站 点 的 其 他 名 字 , 通 配 
符 “*” 和 “?” 可 以 用 于 域名 的 匹配 。 这 样 ， 所 有 对 域 domain.tld 的 访问 请 求 都 将 由 虚拟 
主机 www.domain.tld 处 理 。 

当 一 个 请 求 到 达 的 时 候 ， 服 务 器 会 首先 检查 它 是 否 使 用 了 一 个 能 和 NameVirtualHost 
相 匹配 的 IP 地 址 。 如 果 能 够 匹配 ， 它 就 会 查找 每 个 与 这 个 IP 地 址 相对 应 的 <VirtualHost> 
段 ， 并 党 试 找 出 一 个 与 请 求 的 主机 名 相同 的 ServerName 或 ServerAlias 配置 项 。 如 果 找 到 
了 ， 它 就 会 使 用 这 个 虚拟 主机 。 和 否则 ， 将 使 用 符合 这 个 人 P 地 址 的 第 一 个 列 出 的 虚拟 主机 。 
所 以 ， 第 一 个 列 出 的 虚拟 主机 充当 了 默认 虚拟 主机 的 角色 ， 主 服务 器 中 的 DocumentRoot 
将 永远 不 会 被 用 到 。 


全 注意 : 虚拟 主机 中 的 配置 指令 如 果 已 经 出 现在 主 服务 器 配置 中 ， 则 会 覆盖 主 服 务 器 中 的 
配置 ; 而 主 服 务 器 中 出 现 的 配置 指令 如 果 在 虚拟 主机 中 没有 配置 ， 则 虚拟 主机 默 

认 会 采用 主 服 务 器 所 使 用 的 配置 。 
下 面 看 一 个 有 关 虚 拟 主机 配置 的 实际 例子 。 假设 15.3.3 节 所 创建 的 /var/www/html/mytest 
目录 和 该 目录 中 的 test.html 文件 都 还 存在 。 然 后 ， 在 /usr 目录 下 创建 一 个 myweb 目录， 并 
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在 该 目录 创建 一 个 index.html 文件 ， 其 命令 如 下 : 


# mkdir /usr/myweb 
# vi /usr/myweb/index.html 
<H1>This web is in /usr/myweb</H1> 


再 假设 www.baidu.com 和 www.sohu.com 两 个 域名 指向 了 Apache 服务 器 所 在 的 IP 为 
192.168.127.134 的 主机 。 现 要 求 ， 如 果 客 户 机 用 www.baidu.com 域名 访问 Apache 服务 器 
时 , 访问 的 是 /Var/www/html/mytest 目录 中 的 testhtml 文件 , 即 出 现 如 图 15-10 所 示 的 页 面 。 
但 如 果 用 www.sohu.com 访问 Apache 服务 器 时 ， 则 访问 的 是 /usr/myweb/index.html 文件 。 

以 上 要 求 需要 用 虚拟 主机 来 实现 ， 可 以 配置 两 台 虚拟 主机 ， 一 台 对 应 www.baidu.com 
域名 ， 再 把 主 目录 设 为 /var/www/htmlmytest， 主 页 文件 设 为 testhtm1。 另 一 台 对 应 
www.sohu.com 域名 ， 主 目录 设 为 /usr/myweb。 具 体 配置 内 容 如 下 所 示 ( 只 是 在 例子 配置 文 
件 的 最 后 加 入 以 下 内 容 ， 不 改动 其 他 内 容 )。 


NameVirtualHost *:80 
<VirtualHost *:80> 
DocumentRoot /var/www/html/mytest 
ServerName www.baidu.com 
DirectoryIndex test.html 
</VirtualHost> 
<VirtualHost *:80> 
DocumentRoot /usr/myweb 
ServerName www.sohu.com 
// 此 处 无 需 配置 DirectoryIndex, 默认 使 用 的 是 主 服务 器 配置 的 DirectoryIndex 
index.html index.html .va 
</VirtualHost> 


测试 时 ， 如 果 不 能 配置 DNS 服务 器 使 wwwl.wzvtc.cn 和 www.sohu.com 域名 指向 
192.168.127.134 ， 而 且 客 户 机 是 Windows 系统 ， 可 以 在 Windows 安装 目录 下 的 
system32\driversvetc 目录 中 找到 hosts 文件 (Linux 的 hosts 文件 在 /etc 目录 ), 然后 添加 以 下 
内 容 ， 就 可 以 保证 本 客户 机 使 用 的 www.baidu.com 和 www.sohu.com 域名 指向 
192.168.127.134。 


192.168.127.134 www-baidu.com 
192.168.127.134 www.Sohu .com 


下 面 重启 一 下 Apache 服务 器 : 
# /usr/sbin/apachectl] restart 


然后 在 设置 了 hosts 文件 的 客户 机 访问 http:/www.baidu.com， 出 现 如 图 15-18 所 示 的 
页 面 。 如 果 访 问 http://www.sohu.com， 则 出 现 如 图 15-19 所 示 的 页 面 。 


= ox 


全 
| -| 
| This web is in /usr/myweb 


= 到 oP 


A 


eS Er EE 


This is a test file. 


图 15-18 ”www.baidu.com 虚拟 主机 的 主页 图 15-19 www.sohu.com 虚拟 主机 的 主页 
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以 上 介绍 了 虚拟 主机 的 配置 方法 。 除 了 上 述 的 配置 指令 外 ， 还 可 以 用 Alias 指令 指定 
某 一 目录 的 别名 , 用 Redirect 指令 把 对 虚拟 主机 的 访问 转发 到 另 一 URL 等 配置 , 使 虚拟 主 
机 的 功能 更 加 强大 。 


15.3.7 日 志 记 录 


如 果 想 有 效 地 管理 Web 服务 器 ， 就 有 必要 了 解 Web 服务 器 的 活动 、 性 能 以 及 出 现 的 
问题 。Apache 服务 器 提供 了 非常 全 面 而 灵活 的 日 志 记录 功能 。 下 面 介绍 如 何在 Apache 服 
务 器 中 配置 日 志 功能 以 及 如 何 理解 日 志 内 容 。 

错误 日 志 是 最 重要 的 日 志文 件 ， 其 文件 名 和 位 置 取 决 于 ErrorLog 指令 。Apache httpd 
进程 将 在 这 个 文件 中 存放 诊断 信息 和 处 理 请 求 中 出 现 的 错误 ， 由 于 这 里 经 常 包含 了 出 错 细 
节 ， 有 时 还 有 一 些 解决 问题 的 提示 。 因 此 ， 当 服务 器 启动 或 运行 过 程 中 有 问题 时 ， 首 先 应 
该 查看 这 个 错误 日 志 。 

错误 日 志 通 常 被 写 入 一 个 文件 (UNIX 系统 上 一 般 是 error log，Windows 和 OS/2 上 一 
般 是 error.log)。 在 UNIX 系统 中 ,错误 日 志 还 可 能 被 重 定向 到 syslog 或 通过 管道 操作 传递 
给 一 个 程序 。 错 误 日 志 的 格式 相对 灵活 ， 并 可 以 附加 文字 描述 。 某 些 信息 会 出 现在 绝 大 多 
数 记录 中 ， 下 面 是 一 个 典型 的 例子 : 

[Wed Nov 19 18:35:18 2008] [error] [client 127.0.0.1] client denied by server 

configuration: /export/home/live/ap/htdocs/test 

其 中 ， 第 一 项 是 错误 发 生 的 日 期 和 时 间 。 第 二 项 是 错误 的 严重 性 ，LogLevel 指令 使 只 
有 高 于 指定 严重 性 级 别 的 错误 才 会 被 记录 。 第 三 项 是 导致 错误 的 客户 端 IP 地 址 。 最 后 是 信 
息 本 身 。 在 此 例 中 ， 服 务 器 拒绝 了 这 个 客户 的 访问 。 服 务 器 在 记录 被 访问 文件 时 ， 用 的 是 
文件 系统 路 径 ， 而 不 是 Web 路 径 。 错 误 日 志 中 会 包含 类 似 上 述 例子 的 多 种 类 型 的 信息 。 此 
外 ,CGI 脚本 中 任何 输出 到 stderr 的 信息 都 会 作为 调试 信息 原封 不 动 地 记录 到 错误 日 志 

用 户 可 以 增加 或 删除 错误 日 志 的 项 。 但 是 对 某 些 特殊 请 求 ， 在 访问 日 志 (access log) 
中 也 会 有 相应 的 记录 。 例 如 上 述 例子 在 访问 日 志 中 也 会 有 相应 的 记录 ， 其 状态 码 是 403。 
因为 访问 日 志 也 可 以 定制 ， 所 以 可 以 从 访问 日 志 中 得 到 错误 事件 的 更 多 信息 。 在 调试 中 ， 
对 任何 问题 持续 监视 错误 日 志 是 非常 有 用 的 。 在 UNIX 系统 中 ， 可 以 使 用 以 下 命令 查看 最 
新 添加 到 错误 日 志 中 的 记录 。 

tail -上 error log 


访问 日 志 记 录 的 是 服务 器 所 处 理 的 所 有 请 求 ,其 文件 名 和 位 置 取决 于 CustomLog 指令 。 
LogFormat 指令 可 以 指定 访问 日 志 记录 什么 样 的 内 容 ， 格 式 高 度 灵 活 ， 使 用 时 很 像 C 语言 
的 printfO) 函 数 的 格式 字符 串 。 下 面 是 例子 配置 文件 中 的 语句 ， 指 定 了 访问 日 志 ， 并 采用 一 
种 名 为 common 的 记录 格式 。 

LogFormat "“%h $%1 %u %t \"%r\" %>s %b" common 

CustomLog logs/access_1og common 

在 LogFormat 指令 中 ,“%” 指 示 服 务 器 用 某 种 信息 蔡 换 ， 其 他 字符 则 不 作 替 换 。 引 号 
(") 必须 加 反 斜 杠 转 义 ， 以 避免 被 解释 为 字符 串 的 结束 。 格 式 字符 串 还 可 以 包含 特殊 的 控 
制 符 ， 如 换行 符 “\n”、 制 表 符 “\t”。 上 述 配置 产生 的 访问 记录 如 下 所 示 。 
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127.0.0.1 - lintf [19/Nov/2008:18:52:21 -0700] "GET /index.html HTTP/1.1" 


200 1457 
记录 的 各 部 分 说 明 如 下 : 
rae 


对 应 的 是 LogFormat 中 的 “%h”， 是 发 送 请 求 到 服务 器 的 客户 机 的 IP 地 址 。 如 果 
HostnameLookups 设 为 On， 则 服务 器 会 尝试 解析 这 个 IP 地 址 的 主机 名 并 替换 此 处 的 全 地 
址 , 但 并 不 推荐 这 样 做 ,因为 这 样 做 会 显著 拖 慢 服务 器 。 如 果 客 户 和 服务 器 之 间 存 在 代理 ， 
那么 记录 中 的 这 个 IP 地址 是 那个 代理 的 IP 地 址 ， 而 不 是 客户 机 的 真实 IP 地 址 。 


对 应 的 是 LogFormat 中 的 “%1”， 是 由 客户 端 identd 进程 判断 出 来 的 用 户 身份 ， 输 出 
中 的 符号 “-” 表 示 此 处 的 信息 无 效 。 除 非 在 严格 控制 的 内 部 网 络 中 ， 此 信息 通常 是 很 不 可 
靠 的 ， 不 应 该 被 使 用 。 只 有 在 将 IdentityCheck 指令 设 为 On 时 ，Apache 才 会 试图 得 到 这 项 
信息 。 


lintf 


对 应 的 是 LogFormat 中 的 “%u”， 这 是 HTTP 认证 系统 得 到 的 访问 该 网 页 的 客户 标识 
(userid), 环境 变量 REMOTE_USER 会 被 设 为 该 值 并 提供 给 CGI 脚本 。 如 果 状 态 码 是 401， 
表示 客户 未 通过 认证 ， 则 此 值 没 有 意义 。 如 果 网 页 没有 设置 密码 保护 ， 则 此 项 将 是 “-”。 

[19/Nov/2008:18:52:21] 


对 应 的 是 LogFormat 中 的 “%t”， 这 是 服务 器 完成 请 求 处 理 时 的 时 间 ， 其 格式 是 “[ 日 / 
月 /年 :时 :分 : 秒 时 区 ]”。 其 中 ，-0700 表示 与 标准 时 区 相差 7 小 时 。 可 以 在 格式 字符 串 中 使 
用 “%{format}t” 来 改变 时 间 的 输出 形式 ， 其 中 的 format 与 C 标准 库 中 的 strfime() 用 法 
相同 。 

"GET /index.html HTTP/1.1" 


对 应 的 是 LogFormat 中 的 \"%m"， 是 客户 端 发 出 的 包含 许多 有 用 信息 的 请 求 行 。 可 以 
看 出 ， 该 客户 的 动作 是 GET， 请 求 的 资源 是 /index.html， 使 用 的 协议 是 HTTP 1.1。 此 外 ， 
还 可 以 记录 其 他 信息 ， 例 如 ， 格 式 字符 串 “%m %U%q %H” 会 记录 动作 、 路 径 、 查 询 字 
符 串 和 协议 ， 其 输出 和 “%r” 一 样 。 

200 

对 应 的 是 LogFormat 中 的 “%>s”， 是 服务 器 返回 给 客户 端的 状态 码 。 这 个 信息 非常 有 
价值 ， 因 为 它 指示 了 请 求 的 结果 。 

1457 

对 应 的 是 LogFormat 中 的 %b, 这 项 是 返回 给 客户 端的 不 包括 响应 头 的 字 节 数 。 如 果 没 
有 信息 返回 ， 则 此 项 应 该 是 “-”， 如 果 和 希望 记录 为 0 的 形式 ， 就 应 该 用 %B。 

另 一 种 常用 的 记录 格式 是 组 合 日 志 格式 ， 形 式 如 下 : 


LogFormat "%h $1 Su %t \"%r\" %>S Sb \"%{Referer}i\" \"%{User-agent}i\"" 
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combined 

CustomLog log/access log combined 

这 种 格式 与 通用 日 志 格 式 类 似 , 但 是 多 了 两 个 “%{header}i” 项 ， 其 中 的 header 可 以 
是 任何 请 求 头 域 。“\"%{Referer}i" ”表示 要 记录 请 求 是 从 哪个 网 页 提交 过 来 的 ， 
“\"% {User-agent}i\"” 表 示 要 记录 客户 端 提供 的 浏览 器 识别 信息 。 

除了 用 LogFormat 指令 起 一 个 别名 外 ， 记 录 格 式 也 可 以 直接 由 CustomLog 指令 指定 ， 
可 以 简单 地 在 配置 文件 中 用 多 个 CustomLog 指令 来 建立 多 文件 访问 日 志 。 下 面 的 配置 中 ， 
既 采 用 common 格式 记录 基本 的 信息 ， 又 在 最 后 两 行 记录 了 提交 网 页 和 浏览 器 的 信息 。 

LogFormat "%h %1 %u %t \"%r\" g%>S $%b" common 

CustomLog logs/access log common 

CustomLog logs/referer log "%{Referer}i -> %U" 

CustomLog logs/agent log "%{User-agent}i" 

即使 一 个 并 不 繁忙 的 服务 器 ， 其 日 志文 件 的 信息 量 也 会 很 大 ， 一 般 每 10 000 个 请 求 ， 
访问 日 志 就 会 增加 1MB 或 更 多 ， 这 就 有 必要 定期 深 动 日 志文 件 。 


全 注意 ! 由 于 Apache 一 直 保持 日 志文 件 的 打开 ， 并 持续 写 入 信息 ， 因 此 服务 器 运行 期 间 
不 能 执行 滚动 操作 。 移 动 或 者 删除 日 志文 件 以 后 ， 必 须 重新 启动 服务 器 才能 让 它 
打开 新 的 日 志文 件 。 


15.3.8 让 Apache 支持 SSL 


SSL (Secure Socket Layer) 由 Netscape 公司 研发 ， 目 的 是 用 来 保障 Internet 上 数据 传 
输 的 安全 。 它 利用 数据 加 密 技术 ， 可 确保 数据 在 网 络 传输 过 程 中 不 会 被 截取 或 窃听 ， 已 被 
广泛 地 用 于 Web 浏览 器 与 服务 器 之 间 的 身份 认证 和 加 密 数据 传输 。 

SSL 协议 位 于 TCP/IP 协议 与 各 种 应 用 层 协议 之 间 ， 为 数据 通信 提供 安全 支持 。SSL 
协议 可 分 为 两 层 ， 首 先是 SSL 记录 协议 〈SSL Record Protocol)， 它 建立 在 可 靠 的 传输 协议 
(如 TCP) 之 上 ， 为 高 层 协议 提供 数据 封装 、 压 缩 、 加 密 等 基本 功能 的 支持 。 其 次 是 SSL 
握手 协议 (SSL Handshake Protocol)， 它 建立 在 SSL 记录 协议 之 上 ， 用 于 在 实际 的 数据 传 
输 开 始 前 ， 通 信 双 方 进行 身份 认证 、 协 商 加 密 算法 、 交 换 加 密 密 钥 等 。SSL 协议 提供 的 服 
务 主要 有 以 下 几 个 。 

口 认证 用 户 和 服务 器 ， 确 保 数据 发 送 到 正确 的 客户 机 和 服务 器 ; 

口 加 密 数据 以 防止 数据 中 途 被 窃取 ; 

口 维护 数据 的 完整 性 ， 确 保 数 据 在 传输 过 程 中 不 被 改变 。 

SSL 协议 的 工作 流程 包括 服务 器 认证 阶段 和 用 户 认 证 阶段 ， 服 务 器 认证 阶段 的 步骤 如 
下 所 示 。 

(1) 客户 端 向 服务 器 发 送 一 个 开始 信息 Hello， 以 发 起 一 个 新 的 会 话 连接 。 

(2) 服务 器 根据 客户 的 信息 确定 是 否 需要 生成 新 的 主 密 钥 ， 如 需要 则 服务 器 在 响应 客 
户 的 Hello 信息 时 将 包含 生成 主 密 钥 所 需 的 信息 。 

(3) 客户 根据 收 到 的 服务 器 响应 信息 ， 产 生 一 个 主 密 钥 ， 并 用 服务 器 的 公开 密 钥 加 密 
后 传 给 服务 器 。 

(4) 服务 器 恢复 该 主 密 钥 ， 并 返回 给 客户 一 个 用 主 密 钥 认证 的 信息 ， 以 此 让 客户 认证 
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服务 器 。 

服务 器 通过 了 客户 认证 后 ， 就 进入 了 用 户 认 证 阶段 。 这 一 阶段 主要 由 服务 器 完成 对 客 
户 的 认证 ， 经 认证 的 服务 器 发 送 一 个 提问 给 客户 ， 客 户 则 返回 数字 签名 后 的 提问 和 其 公开 
密 钥 ， 从 而 向 服务 器 提供 认证 。 

HTTPS (Secure Hypertext Transfer Protocol， 安 全 超 文本 传输 协议 ) 由 Netscape 开发 并 
内 置 于 其 浏览 器 中 , 用 于 对 数据 进行 压缩 和 解压 操作 , 并 返回 网 络 上 传送 回 的 结果 .。 HTTPS 
实际 上 应 用 了 SSL 作为 HTTP 应 用 层 的 子 层 ， 使 用 端口 443 进行 通信 ，SSL 使 用 40 位 关 
键 字 作为 RC4 流 加 密 算法 。HTTPS 和 SSL 都 支持 使 用 X.509 数字 认证 ， 如 果 需 要 ， 用 户 
可 以 确认 发 送 者 是 谁 。 下 面 看 在 RHEL 6 中 , 如 何 使 Apache 在 SSL 的 基础 上 , 接受 HTTPS 
协议 的 访问 。 

在 Apache 服务 器 配置 SSL 功能 ， 需 要 mod_ssl-2.2.15-15.el6 2.1.i686 包 的 支持 ， 下 面 
是 这 个 包 所 包含 的 文件 。 其 中 ，mod_ssl.so 需要 作为 一 个 模块 被 Apache 装载 ， 有 关 支 持 
SSL 的 配置 已 经 存在 于 ssl.conf 文件 中 。 

# rpm -ql mod mod ssl-2.2.15-15.e16 2.1.i686 

/etc/httpd/conf.d/ssl.conf 


/usr/lib/httpd/modules/mod ssl.so 
/var/cache/mod ssl 


去 除 注释 后 ，/etc/httpd/conf.d/ssl.conf 文件 的 内 容 如 下 : 


LoadModule ssl module modules/mod ssl.so  // 装 载 SSL 模块 
Listen 443 /A/HTTPS 的 监听 端口 
AddType application/x-x509-ca-cert .crt 
AddType application/x-pkcs7-crl Crl 
SSLPassPhraseDialog builtin 
SSLSessionCache shmcb: /var/cache/mod ssl/scache (512000) 
SSLSessionCacheTimeout 300 
SSLMutex default 
SSLRandomSeed startup file:/dev/urandom 256 
SSLRandomSeed connect builtin 
SsLCryptoDevice builtin 
<VirtualHost default :443> 
ErrorLog logs/ssl error log 
TransferLog logs/ssl access log 
LogLevel warn 
SSLEngine on 
SSLProtocol all -SSLv2 
SSLCipherSuite ALL: !ADH: !EXPORT: !SSLv2:RC4+RSA:+HIGH: +MEDIUM: +LOW 
SSLCertificateFile /etc/pki/tls/certs/ locale.crt // 指 定 证 书 
SsLCertificateKeyFile /etc/pki/tls/private/locale.key  // 指 定 密 钥 
<Files ~ "\.(cgilshtml|lphtml|php3?)$"> 
SSLOptions +StdEnvVars 
</Files> 
<Directory "/var/www/cgi-bin"> 
SSLOPtions +StdEnvVars 
</Directory> 
SetEnvIf User-Agent ".*MSIE.*" \ 
nokeepalive ssl-unclean-shutdown \ 
downgrade-1.0 force-response-1.0 
CustomLog logs/ssl request log \ 
"St %h S${SSL PROTOCOL}x %${SSL CIPHER}x \"%r\" %b" 
</VirtualHost> 
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为 了 使 以 上 配置 能 正常 工作 ， 需 要 制作 SSLCertificateFile 和 SSLCertificateKeyFile 指 


令 指定 的 证 书 和 密 钥 。 在 RHEL 6 中 ， 可 以 通过 以 下 步骤 完成 这 些 操作 。 


(1) 进入 /etc/pki/tls/certs 目录 。 


# cd /etc/pki/tls/certs 


(2) 创建 私 钥 。 


# make server.key 
[root@localhost certs]# make server.key 
umask 77 ; \ 
/usr/bin/openssl genrsa -aes128 2048 > server.key 
Generating RSA private key, 2048 bit long modulus 


ee 十 二 十 
让 本 下 

e is 65537 (0x10001) 

Enter pass phrase: // 输 入 密码 (密码 不 可 以 小 于 6 位 ) 
Verifying - Enter pass phrase: // 再 输 一 次 


(3) 重 写 私 钥 ， 清除 密 码 ， 保 证 httpd 启动 时 不 必 输 入 密码 。 


# openssl rsa -in server.key -out server.key 
Enter pass phrase for server.key: 
writing RSA key 


(4) 创建 证 书签 发 请 求 〈Certificate Signing Request，CSR)。 


# make server.csr 
umask 77 ; \ 
/usr/bin/openssl req -utf8 -new -key server.key -out server.csr 
You are about to be asked to enter information that will be incorporated 
into your certificate request. 
What you are about to enter is what is called a Distinguished Name or a DN. 
There are quite a few fields but you can leave some blank 
For some fields there will be a default value, 


If you enter '.', the field will be left blank. 
Country Name (2 letter code) [GB]:CN // 输 入 国家 代码 
State or Province Name (full name) [Berkshire]:Zhejiang // 输 入 省 份 
Locality Name (eg, city) [Newbury] :Wenzhou // 输 入 城市 名 
Organization Name (eg, company) [My Company Ltd] :wzvtc // 输 入 公司 名 
Organizational Unit Name (eg, section) []: // 输 入 部 门 名 
Common Name (eg, your name or your server's hostname) []:10.10.1.29 

// 服 务 器 的 域名 
Email Address [] :aaa@ // 邮 件 地 址 
Please enter the following 'extra' attributes 
to be sent with your certificate request 
A challenge password [] :1intf // 输 入 附加 信息 
Rn optional company name [] :wzvtc // 输 入 附加 信息 


# 
(5) 如 果 不 能 申请 上 级 CA 授权 认证 ， 可 以 创建 个 一 个 个 人 CA。 


# openssl x509 -in server.csr -req -signkey server.key -days 365 -out 
server.crt 

Signature ok 
subject=/C=CN/ST=Zhejiang/L=Wenzhou/O=wzvtc/CN=10.10.1.29/emailAddress= 


.354 。 
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aaa@ 


Getting Private key 
# 


(6) 以 上 操作 完成 后 ， 产 生 了 3 个 文件 。 


# ls server.* 
Server.crt server.csr server.key 


(7) 改变 ssl.conf 配置 ， 启 用 所 产生 的 证 书 和 私 钥 。 
# vi /etc/httpd/conf.d/ssl.conf 
Gore acerie /etc/pki/tls/certs/server.crt 


SSLCertificateKeyFile /etc/pki/tls/certs/server.key 


(8) 由 于 Apache 的 初始 配置 文件 中 已 经 包含 了 “Include conf.d/*.conf” 语 名 ，ssl.conf 
的 配置 实际 上 已 经 包含 在 httpd.conf 中 ， 因 此 ， 不 需 改 变 httpd.conf， 重 启 Apache 即 可 。 

# /usr/sbin/apachect1 restart 

另外 ， 如 果 防 火 墙 还 未 开放 443 端口 ， 还 需要 用 以 下 命令 开放 443 端口 。 


# iptables -I INPUT -p tcp --dport 443 -j ACCEPT 


以 上 步 又 完成 后 ，Apache 服务 器 就 能 够 支 


持 基 于 SSL 的 HTTPS 协议 ， 通 过 在 客户 端 下 下 和 re 


浏览 器 的 地 址 栏 内 输入 https://10.10.1.29 可 以 
进行 测试 ， 如 果 出 现 如 图 15-20 所 示 页 面 ， 表 人 滨 衣 让 约 效 人 5 


明 配 置 已 经 成 功 。 单 击 “ 是 ”按钮 后 ， 可 以 通 @ 
过 HTTPS 协议 访问 Apache 服务 器 ， 出 现 © Mn 
Apache 的 测试 页 面 。 Cy 

说 明 : 在 图 15-20 中 ， 如 果 单 击 “ 查 看 证 是 0) 查看 证 蔬 员 ) 
村 ”按钮 ， 可 以 查看 到 第 (2)、(4)、(5) 步 又 


中 输入 的 有 关 证 书 的 一 些 信息 。 图 15-20 通过 https 协议 访问 Apache 服务 器 


15.4 Apache 对 动态 网 页 的 支持 


除了 对 静态 HTML 文件 的 支持 外 ，Apache 服务 器 还 可 以 支持 多 种 形式 的 动态 网 页 ， 
包括 CGI 脚本 、PHP 和 JSP 等 。CGI 脚本 在 初始 的 例子 配置 文件 中 就 已 经 提供 了 支持 ， 其 
余 的 动态 网 页 还 需要 其 他 模块 的 支持 。 下 面 介绍 Apache 支持 这 些 动态 网 页 的 配置 方法 。 


15.4.1 CGI 脚本 

CGI (Common Gateway Interface， 公 共 网 关 接口 ) 定义 了 网 站 服务 器 与 外 部 内 容 协 商 
程序 之 间 进 行 交 互 的 方法 。 通常 是 指 CGI 程序 或 者 CGI 脚本 , 是 在 网 站 上 实现 动态 页 面 的 
最 简单 和 常用 的 方法 。 它 在 Web 服务 器 所 在 的 主机 上 运行 ， 能 接受 客户 端 浏 览 器 的 输入 ， 
并 可 以 把 运行 结果 输出 到 浏览 器 。 下 面 对 如 何在 Apache 服务 器 上 配置 CGI， 以 及 如 何 运 
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行 CGI 程序 作 介绍 。 

要 让 CGI 程序 能 正常 运行 ， 必 须 配置 Apache 以 允许 CGI 的 执行 ， 其 方法 有 多 种 。 首 
先 可 以 使 用 ScriptAlias 配置 指令 ， 它 能 够 允许 Apache 执行 一 个 特定 目录 中 的 CGI 程序 。 
当 客户 端 请 求 此 特定 目录 中 的 资源 时 ，Apache 假定 其 中 文件 都 是 CGI 程序 并 试图 运行 。 
例子 配置 文件 中 起 用 的 ScriptAlias 指令 如 下 所 示 。 


ScriptRAlias /cgi-bin/ "/var/www/cgi-bin/" 


ScriptAlias 指令 定义 了 映射 到 一 个 特定 目录 的 URL 前 级 ， 与 Alias 指令 非常 相似 ， 两 
者 一 般 都 用 于 指定 位 于 DocumentRoot 目录 以 外 的 目录 。 其 区 别 是 ScriptAlias 又 多 了 一 层 
含义 ， 即 其 URL 中 指明 的 任何 文件 都 被 视 为 CGI 程序。 所 以 ， 上 述 例子 会 指示 Apache， 
/cgi-bin/ 应 该 指向 /var/wwwycgi-bin/ 目 录 ， 且 视 之 为 CGI 程序 。 

例如 ， 如 果 某 一 浏览 器 提交 了 URL 为 http:/www.example.comy/cgi-bin/test.pl 的 请 求 ， 
则 Apache 会 试图 通过 主机 执行 /var/www/cgi-bin/test.pl 文件 并 返回 其 输出 结果 给 浏览 器 。 
当然 ， 这 个 文件 必须 存在 而 且 可 执行 ， 并 以 特定 的 方法 产生 输出 ， 否 则 Apache 将 返回 一 
个 出 错 消 息 。 

由 于 安全 原因 ，CGI 程序 通常 被 限制 在 ScriptAlias 指令 指定 的 目录 中 ， 这 样 的 话 ， 管 
理 员 就 可 以 严格 地 控制 谁 可 以 使 用 CGI 程序 。 但 是 ， 如 果 采 取 了 恰当 的 安全 方面 的 措施 ， 
也 可 以 允许 其 他 目录 中 的 CGI 程序 运行 。 例 如 ， 如 果 用 户 在 UserDir 指定 的 个 人 目录 中 存 
放 页 面 ， 并 且 需 要 运行 自己 的 CGI 程序 ， 但 无 权 存 取 cgi-bin 目录 ， 这 样 ， 就 产生 了 运行 
其 他 目录 中 的 CGI 程序 的 要 求 。 可 以 在 主 服务 器 配置 文件 中 ， 使 用 Options 指令 显 式 地 允 
许 特定 目录 中 CGI 的 执行 ， 例 如 : 

<Directory /var/www/htdocs/somedir> 

Options +ExecCGI 

</Directory> 

上 述 Options 指令 使 Apache 允许 CGI 文件 的 执行 。 也 可 以 用 .htaccess 文件 实现 上 述 配 
置 ， 即 把 上 例 中 的 “Options +ExecCGI ” 改 为 “AllowOverride Options”， 然 后 在 
/Var/www/htdocs/somedir 目录 中 建立 .htaccess 文件 ， 并 把 “Options +ExecCGI” 放 入 该 文件 ， 
可 以 达到 一 样 的 配置 效果 。 

另外 ， 还 必须 告诉 服务 器 哪些 文件 是 CGI 文件 。 下 面 的 AddHandler 指令 告诉 服务 器 
所 有 带 有 cgi 或 pl 后 级 的 文件 是 CGI 程序 。 


AddHandler cgi-script cgi pl 


下 面 看 一 个 简单 的 CGI 程序 运行 方法 的 例子 。 由 于 例子 配置 文件 已 经 把 
/Var/www/cgi-bin/ 目 录 设 为 CGI 脚本 目录 , 并 且 采 用 的 脚本 语言 是 Perl, 因此 不 需要 改动 例 
子 配置 文件 ， 就 可 以 使 用 CGI 程序 。 在 /var/www/cgi-bin 目录 创建 一 个 名 为 first.pl 的 文本 
文件 ， 内 容 如 下 : 


#!/usr/bin/perl 
print "Content-type: text/html\n\n™"; 
print "<hl>Hello, World!</hl>\n"; 


这 个 Perl 脚本 程序 的 含义 是 用 print 语句 输出 两 行 字符 串 。 第 一 行 是 每 一 个 Perl 脚本 
程序 都 必须 有 的 ， 告 诉 操作 系统 使 用 的 是 Perl 脚本 程序 。 然 后 还 要 把 这 个 文件 设 为 apache 
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户 可 执行 ， 命 令 如 下 : 
# chmod atx /var/www/cgi-bin/first.pl 


此 时 如 果 在 操作 系统 中 执行 firstpl， 产 生 的 输出 也 可 以 在 终端 上 出 现 ， 如 下 所 示 。 
Content-type: text/html 


a World!</h1l> 

现在 用 浏览 器 在 客户 端 访问 这 个 Perl 程序 ， 即 在 地 
址 栏 内 输入 http://192.168.127.134/ cgi-bin/first.pl， 则 可 
以 看 到 如 图 15-21 所 示 的 页 面 。 

从 图 15-21 中 可 以 看 到 ，first.pl 程序 的 输出 结果 送 
给 了 浏览 器 。 


全 说 明 : CGI 程序 还 有 很 多 其 他 功能 ， 如 处 理 用 户 提交 
的 数据 等 ， 具 体 实现 方法 可 参考 有 关 资 料 。 图 15-21 Perl 程序 的 测试 运行 结果 


eile 
|[@ hewne216.. p- acxj]|E 


Hello, World! 


15.4.2 使 Apache 支持 PHP5 


PHP 是 一 种 用 于 创建 动态 Web 页 面 的 服务 端 脚 本 语言 。 像 ASP 一 样 ， 用 户 可 以 混合 
使 用 PHP 和 HTML 编写 Web 页 面 ， 当 访问 者 浏览 到 该 页 面 时 ， 服 务 端 会 首先 对 页 面 中 的 
PHP 命令 进行 处 理 , 然后 把 处 理 后 的 结果 连同 HTML 内 容 一 起 传送 到 访问 者 的 浏览 器 。 与 
ASP 不 同 的 是 ，PHP 是 一 种 源 代码 开放 程序 ， 拥 有 很 好 的 跨 平台 兼容 性 。 


外 说 明 : 用 户 可 以 在 Windows NT 系统 以 及 许多 版 本 的 UNIX 系统 上 运行 PHP， 而 且 可 以 
将 PHP 作为 Apache 服务 器 的 内 置 模块 或 CGI 程序 运行 。 


除了 能 够 精确 地 控制 Web 页 面 的 显示 内 容 之 外 , 用户 还 可 以 通过 使 用 PHP 发送 HTTP 
消息 、 设 置 cookies 和 管理 用 户 身份 识别 ， 并 对 用 户 浏览 页 面 进行 重 定向 等 工作 。PHP 具 
有 非常 强大 的 数据 库 支 持 功 能 , 能 够 访问 几乎 目前 所 有 较为 流行 的 数据 库 系统 。 此外, PHP 
可 以 与 多 个 外 部 程序 集成 ， 为 用 户 提供 更 多 的 实用 功能 ， 如 生成 PDF 文件 等 。 

Apache 服务 器 是 通过 模块 的 形式 提供 对 PHP 6 的 支持 。RHEL 6 安装 盘 包 含 了 PHP 5 
的 RPM 包 ， 该 RPM 包 包 含 了 可 以 装载 在 Apache 中 的 模块 。 为 了 安装 PHP 5， 需要 在 系 
统 安装 盘 中 找到 php-5.3.3-3.e1l6_2.8.i686.rpm 文件 ， 并 把 它 复制 到 当前 目录 后 ， 输 入 以 下 命 
令 进行 安装 。 

# rpm -ivh php-5.3.3-3.e16 2.8.i686.rpm 


安装 成 功 后 ， 所 有 的 文件 分 布 如 下 : 


# rpm -ql php-5.3.3-3.e16 2.8.i686 
/etc/httpd/conf.d/php.conf 
/usr/lib/httpd/modules/libphp5.so 
/var/lib/php/session 
/var/www/icons/php.gif 


Fe 
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其 中 ，/usr/lib/httpd/modules/libphp5.so 是 Apache 模块 ，/etc/httpd/conf.d/php.conf 包含 
了 让 Apache 支持 PHP 5 的 配置 ， 可 以 在 /etc/httpd/conf/http.conf 中 用 “ Include 
conf.d/php.conf” 把 这 些 配 置 包 含 进来 。/etc/httpd/conf.d/php.conf 的 内 容 如 下 所 示 (不 包含 
原 有 注释 )。 
# more /etc/httpd/conf.d/php.conf 


LoadModule php5 module modules/libphp5.so # 装 入 PHP 5 模块 
AddHandler php5-script .php # 让 PHP 解释 器 处 理 .php 文件 
AddType text/html .php # 设 定 .php 文件 的 媒体 类 型 
DirectoryIndex index.php # 添加 index.php 为 主页 文件 


由 于 例子 配置 文件 中 已 经 包含 了 “Include conf.d/*.conf” 语 句 , 因此 无 需 再 加 入 “include 
conf.d/php.conf” 语 句 ， 只 需 用 以 下 命令 重启 Apache 即 可 。 


# /usr/sbin/apachectl restart 

为 了 测试 PHP 5 是 否 已 正常 运行 ， 在 主 目录 下 创建 一 个 文件 test.php， 内 容 如 下 : 

<?php 

echo "Hello,World! This is PHP 5"; 

?> 

现在 用 浏览 器 在 客户 端 访问 这 个 Perl 程序 ， 即 在 地 址 栏 内 输入 http://10.10.1.29/ 
test.php， 则 可 以 看 到 如 图 15-22 所 示 的 页 面 。 

从 图 15-22 中 可 以 看 到 ，test.php 程序 的 输出 结果 【<¢ 加 TE 
送 给 了 浏览 器 。PHP 脚本 程序 具有 强大 的 功能 ， 关于 | Hello,world'This is PHPS 
其 程序 设计 方法 ， 请 参考 其 他 资料 。 


15.4.3 使 Apache 支持 JSP 


JSP (Java Server Pages) 是 由 Sun Microsystems ”图 15-22 PHP 程序 的 测试 运行 结果 
公司 倡导 、 并 由 许多 公司 参与 制订 的 一 种 动态 网 页 技 
术 标准 。JSP 技术 有 点 类 似 ASP 技术 ， 它 是 在 传统 的 HTML 网 页 文件 中 插入 Java 程序 段 
和 JSP 标记 ， 从 而 形成 JSP 文件。 


1. JSP 简介 


用 JSP 开发 的 Web 应 用 是 跨 平 台 的 ， 既 能 在 Linux 下 运行 ， 也 能 在 其 他 操作 系统 上 运 
行 。JSP 技术 使 用 Java 编程 语言 编写 类 XML 的 程序 段 和 标记 ， 用 于 封装 产生 动态 网 页 的 处 
理 逻 辑 ， 同 时 还 能 用 于 访问 存在 于 服务 端的 资源 。JSP 将 网 页 逻辑 同 网 页 设计 和 显示 逻辑 进 
行 分 离 ， 支 持 可 重用 的 基于 组 件 的 设计 ， 使 基于 Web 的 应 用 程序 的 开发 变 得 迅速 和 容易 。 

Web 服务 器 在 遇 到 访问 JSP 网 页 的 请 求 时 ， 首 先 执 行 其 中 的 程序 段 ， 然 后 将 执行 结果 连 
同 JSP 文件 中 的 HTML 代码 一 起 返回 给 客户 端 。 插 入 的 Java 程序 段 可 以 操作 数据 库 、 重 新 
定向 网 页 等 ， 以 实现 建立 动态 网 页 所 需要 的 功能 。JSP 与 Java Servlet 一 样 ， 是 在 服务 器 端 执 
行 的 ， 通 常 返回 该 客户 端的 就 是 一 个 HTML 文本 ， 因 此 客户 端 只 要 有 浏览 器 就 能 浏览 。 

JSP 页 面 由 HTML 代码 和 艇 入 其 中 的 Java 代码 所 组 成 , 服务 器 在 页 面 被 客户 端 请 求 以 
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后 对 这 些 Java 代 码 进行 处 理 , 然后 将 生成 的 HTML 页 面 返回 给 客户 端的 浏览 器 。Java Servlet 
是 JSP 的 技术 基础 ， 而 且 大 型 的 Web 应 用 程序 的 开发 需要 Java Servlet 和 JSP 配合 才能 完 
成 。JSP 具备 了 Java 技术 的 简单 易 用 、 完 全 的 面向 对 象 、 具 有 平台 无 关 性 且 安 全 可 靠 、 主 
要 面向 因特网 等 所 有 的 特点 。 

自 JSP 推出 后 ， 众 多 大 公司 都 推出 了 支持 JSP 技术 的 服务 器 ， 如 IBM、Oracle 和 Bea 
公司 等 , 所 以 JSP 迅速 成 为 商业 应 用 的 服务 器 端 语言 。Apache 和 Tomcat 是 Apache 基金 会 
下 面 的 两 个 项 目 。 一 个 是 HTTP Web 服务 器 ， 另 一 个 是 Servlet 容器 ， 最 新 的 Tomcat 5.5.X 
系列 实现 了 Servlet 2.4/JSP 2.0 规范 。 

在 应 用 环境 中 ， 往 往 需要 Apache 做 前 端 服务 器 ，Tomcat 做 后 端 服务 器 ， 此 时 就 需要 
一 个 连接 器 ， 这 个 连接 器 的 作用 就 是 把 所 有 对 Servlet/JSP 的 请 求 转 给 Tomcat 处 理 。 


名 说明: 在 Apache 2.2 之 前 ， 一般 有 两 个 连接 器 组 件 可 供 选 择 : mod 冰 和 mod jk2。 后 来 
mod jk2 没有 更 新 了 ， 转 而 更 新 mod jk， 所 以 现在 一 般 都 使 用 mod jk 做 Apache 
和 Tomcat 的 连接 器 。 


自从 Apache 2.2 以 后 ， 连 接 器 又 多 了 一 种 选择 ， 那 就 是 proxy-ajp。Apache 里 的 proxy 
模块 ， 可 以 实现 双向 代理 功能 ， 功 能 非常 强大 。proxy 模块 的 功能 主要 是 把 相关 的 请 求 转 
发 给 特定 的 主机 再 返回 结果 ， 正 好 符合 连接 器 的 实现 原理 。 因 此 ， 用 proxy 模块 来 实现 连 
接 器 是 非常 自然 的 。 具 体 来 说 ，proxy-ajp 连接 器 的 功能 就 是 把 所 有 对 ServleVJSP 的 请 求 都 
转 给 后 台 的 Tomcat。 另 外 ， 使 用 proxy-ajp 要 比 使 用 mod jk 的 效率 高 。 

2. JSP 运行 环境 的 安装 与 配置 

由 于 Tomcat 需要 在 Java 平台 下 和 运行， 因此， 首先 要 安装 Java 开发 工具 ， 即 JDK。 目 
前 最 新 的 JDK 版 本 是 7u7， 可 以 从 http://java.sun.com/javase/downloads/ 处 下 载 Linux 平台 
下 的 版 本 ， 文 件 名 是 jdk-7u7-linux-i586.rpm。 它 是 一 个 二 进 制 的 可 执行 文件 ， 安 装 时 直接 
执行 该 文件 即 可 ， 把 文件 复制 到 当前 目录 后 ， 执 行 以 下 命令 进行 安装 。 

# rpm -ivh rpm -ivh jdk-7u7-linux-i586.rpm 

Preparing .。。 非 莫非 提 非 间 提 提 提 提 提 提 提 并 提 提 提 提 提 提 并 提 提 提 并 提 提 提 提 并 提 提 提 井 井 提 间 井 并 间 间 ## [1 OO 名] 

1 :j2sdk 非 非 非 提 提 非 非 提 非 提 提 提 提 并非 提 提 提 提 提 提 提 提 提 提 提 提 并 提 提 提 并 提 并 提 间 并 井 # 间 井 ## [1 OO 名] 

JDK 安装 完成 后 再 执行 以 下 命令 设置 环境 变量 ， 这 些 命令 可 以 设 成 开机 时 自动 执行 。 

# export JAVA HOME=/usr/java/jdk1.7.0_07 

# export CLASSPATH=.:$JAVA HOME/lib/dt.jar:$JAVA HOME/1lib/tools.jar 

# export PATH=$PATH:$JAVA HOME/bin 

接 下 来 安装 和 运行 Tomcat。 从 http://tomcat.apache.org/ 处 下 载 最 新 版 的 Tomcat， 目 前 
是 7.0.30 版 , 文件 名 是 apache-tomcat-7.0.30.tar.gz， 把 该 文件 复制 到 当前 目录 , 输入 以 下 命 
令 进行 解压 。 


# tar -zvxf ./ apache-tomcat-7.0.30.tar.gz 


解压 完成 后 ，Tomcat 所 有 的 文件 都 在 apache-tomcat-7.0.30-src 目录 下 ， 其 默认 的 配置 
文件 已 经 可 以 使 Tomcat 正常 运行 ， 因 此 ， 输 入 以 下 命令 即 可 。 


# ./ apache-tomcat-7.0.30-src/bin/startup.sh 


i 
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Using CATALINA BASE: /root/apache-tomcat-7.0.30 
Using CATALINA HOME: /root/apache-tomcat-7.0.30 
Using CATALINA TMPDIR: /root/apache-tomcat-7.0.30/temp 
Using JRE HOME: /usr 


可 以 用 以 下 命令 查看 tomcat 进程 是 否 已 启动 。 


# ps -eaflgrep tomcat 

root DAT 7982 "0 OT 32 PES/AL 00:00:00 grep tomcat 

root 26866 1 0 Nov20 ? 00:00:17 /usr/java/jdkl1.6.0 10/bin/java 
-Djava.util.logging.manager=org.apache.juli.ClassLoaderLogManager 
-Djava.util.logging.config.file=/root/apache-tomcat-6.0.18/conf/logging 
.Properties -Djava.endorsed.dirs=/root/apache-tomcat-6.0.18/endorsed 
-classpath :/root/apache-tomcat-6.0.18/bin/bootstrap.jar 
-Dcatalina.base=/root/apache-tomcat-7.0.30 
-Dcatalina.home=/root/apache-tomcat-7.0.30 
-Djava.io.tmpdir=/root/apache-tomcat-7.0.30/temp 
org.apache.catalina.startup.Bootstrap start 


可 以 看 出 ，Tomcat 是 在 Java 虚拟 机 环境 下 运行 的 ， 并 且 带 了 很 多 运行 参数 ， 进 程 运 
行 的 身份 是 root。 默 认 配 置 下 ，Tomcat 监听 的 是 8080 号 端口 ， 而 与 Apache 整合 时 ， 要 从 
8009 端口 接受 代理 请 求 。 可 以 用 netstat 命令 查看 这 两 个 端口 是 否 已 经 处 于 监听 状态 。 


# netstat -anlgrep :8080 


tcp 0 O20000 本 村 LISTEN 
# netstat -an | grep 8009 
tcp 0 Ors:0009 LISTEN 


可 见 ， 端口 的 监听 也 是 正常 的 。 为 了 确保 客户 端 能 够 访问 Tomcat 服务 器 ， 如 果 防 火 墙 
未 开放 8080 号 端口 ， 可 以 输入 以 下 命令 打开 8080 号 端口 。 

# iptables -I INPUT -p tcp --dport 8080 -j ACCEPT 

或 者 用 以 下 命令 清空 防火 墙 的 所 有 规则 。 

# iptables -F 

上 述 过 程 完成 后 ,就 可 以 在 客户 端 通过 浏览 器 访问 Tomcat 了 。 正常 情况 下 ,在 浏览 
的 地 址 栏 内 输入 http://10.10.1.29:8080， 会 出 现 如 图 15-23 所 示 的 Tomcat 测试 页 面 。 


3. Apache 与 Tomcat 的 连接 配置 


Tomcat 运行 正常 后 ， 下 面 再 采用 双向 代理 的 方式 整合 Apache 和 Tomcat。 在 
/etc/httpd/conf.d/ 下 有 一 个 文件 proxy_ajp.conf， 其 中 已 经 包含 了 有 关 的 配置 ， 去 掉 注 释 后 ， 
其 内 容 如 下 : 


# cat /etc/httpd/conf.d/proxy ajp.conf 

LoadModule proxy ajp module modules/mod proxy ajp.so 

ProxyPass /tomcat/ ajp://localhost:8009/ 

ProxyPass /examples/ ajp://localhost:8009/jsp-examples/ 

第 一 条 语句 表示 要 装 入 ajp 代理 模块 。 第 二 条 语句 的 意思 是 当 客户 端 提交 的 URL 中 如 
果 在 主机 名 后 包含 /tomcat/， 则 会 把 请 求 以 ajp 协议 转 给 本 机 的 8009 端口 ， 而 这 个 端口 正 
是 Tomcat 监听 的 端口 。ProxyPass 指令 的 作用 是 设置 双向 代理 。 第 三 条 语句 与 第 二 条 的 作 
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图 15-23 ”Tomcat 的 测试 页 面 


用 类 似 。 由 于 在 例子 配置 文件 中 已 经 包含 了 以 下 语句 ， 因 此 proxy_ajp.conf 文件 中 的 三 条 
配置 指令 实际 上 已 经 包含 在 Apache 服务 器 的 配置 中 。 


Include conf.d/*.conf 


为 了 测试 JSP 是 否 已 经 能 正常 运行 ,在 Tomcat 安装 目录 下 的 webapps/ROOT 目录 中 创 
建 以 下 内 容 的 JSP 文件。 


<%@ page contentType="text/html;charset=gb2312" %> 

<HTML> 

<BODY> 

<%out.println("<hl>Hello World! This is JSP test.</h1l>");%> 
</BODY> 

</HTML> 


然后 在 客户 端 浏 览 器 的 地 址 栏 内 输入 http://192.168.127.134/tomcat/testjsp 进行 测试 ， 
出 现 如 图 15-24 所 示 的 画面 。 


(= me 
[@ reine21s. p- sox)|G i21681271%4 


Hello,World!This is JSP test 


图 15-24 JSP 运行 环境 测试 


Tomcat 安装 目录 下 的 webapps/ROOT/ 是 Tomcat 的 主 目录 。 当 浏览 器 通过 8080 端口 访 
问 Tomcat 时 ， 默 认 时 网 页 和 JSP 文件 是 存放 在 该 目录 的 。 至 于 Tomcat 的 详细 配置 ， 可 参 
考 有 关 资 料 。 


a 
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15:5 “水 结 


Web 服务 器 是 Internet 是 最 为 常见 的 一 种 服务 器 ，Intemet 上 不 计 其 数 的 网 站 正 是 
Web 服务 器 支持 的 。 可 以 这 样 说 ， 正 是 因为 有 了 Web 服务 器 , 才 使 得 Internet 如 此 地 流行 。 
本 章 主要 介绍 使 用 Apache 服务 器 软件 架设 Web 服务 器 的 方法 。 首 先 讲述 了 有 关 HTTP 协 
议 的 知识 ， 然 后 介绍 Apache 服务 器 的 安装 、 运 行 与 配置 ， 最 后 介绍 了 Apache 对 动态 网 页 


的 支持 。 


“Ms 


第 16 章 MySQL 数据 库 服务 器 架设 


MySQL 是 一 种 开放 源 代 码 的 关系 数据 库 管 理 系 统 ， 支 持 各 种 各 样 的 操作 系统 平台 ， 
它 采 用 客户 机 /服务 器 工作 模式 ， 是 一 个 多 用 户 、 多 线程 的 SQL 数据 库 。 本 章 介绍 数据 库 
基础 知识 、MySQL 安装 、 运 行 、 配 置 和 管理 等 内 容 。 


16.1 数据 库 简介 


数据 库 技术 产生 于 20 世纪 60 年 代 中 期 ， 是 数据 管理 的 最 新 技术 ， 是 计算 机 科学 的 重 
要 分 支 ， 它 的 出 现 极 大 地 促进 了 计算 机 在 各 行 各 业 的 应 用 。 下 面 介绍 有 关 数 据 库 的 基本 概 
念 、SQL 语言 的 基本 知识 ， 以 及 MySQL 数据 库 的 特点 。 


16.1.1 数据 库 的 基本 概念 


数据 、 数 据 库 、 数 据 库 系 统 和 数据 库 管理 系统 是 数据 库 领域 最 基本 的 概念 。 数 据 库 是 
数据 的 有 序 集合 ， 数 据 库 管理 系统 是 人 们 操作 、 管 理 数据 库 的 工具 ， 而 数据 库 系统 包含 了 
所 有 与 数据 库 有 关 的 内 容 。 下 面 分 别 介 绍 这 4 个 概念 。 

1. 数据 

数据 (data) 是 数据 库 中 存储 的 基本 对 象 。 说 起 数据 ， 人 们 首先 想到 的 是 数字 。 其 实 ， 
数字 只 是 最 简单 的 一 种 数据 。 数 据 的 种 类 很 多 ， 在 日 常生 活 中 无 处 不 在 ， 像 文字 、 图 形 、 
图 像 、 声 音 、 学 生 的 档案 、 货 物 的 运输 情况 等 ， 这 些 都 是 数据 。 

在 日 常生 活 中 ， 人 们 直接 用 自然 语言 (如 汉语 ) 描述 事物 。 在 计算 机 中 ， 为 了 存储 和 
处 理 这 些 事物 ， 就 要 抽出 对 这 些 事物 感 兴趣 的 特征 组 成 一 个 记录 来 描述 。 例 如 ， 在 学 生 档 
案 中 ， 如 果 人 们 最 感 兴趣 的 是 学 生 的 学 号 、 姓 名 、 性 别 、 出 生年 月 、 籍 贯 、 所 在 系 别 、 入 
学 时 间 ， 那 么 ， 可 以 用 以 下 方式 的 记录 来 描述 一 个 学 生 。 

(020907， 金 姗 姗 ， 女 ，1984， 浙 江 ， 计 算 机 系 ，2002) 


2. 数据 库 


数据 库 (database， 简称 DB)， 顾 名 思 义 ， 是 存放 数据 的 仓库 。 只 不 过 这 个 仓库 是 在 
计算 机 的 存储 设备 上 ， 而 且 数 据 是 按 一 定 的 格式 存放 的 。 所 谓 数据 库 是 指 长 期 储存 在 计算 
机 内 的 、 有 组 织 的 、 可 共享 的 数据 集合 。 数 据 库 中 的 数据 按 一 定 的 数据 模型 组 织 、 描 述 和 
储存 ， 上 共有 较 小 的 元 余 度 、 较 高 的 数据 独立 性 和 易 扩 展 性 ， 并 可 为 各 种 用 户 共享 。 

3. 数据 库 管理 系统 


某 种 应 用 所 需要 的 大 量 数据 收集 之 后 ， 为 了 能 科学 地 组 织 这 些 数据 并 将 其 存储 在 数据 
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库 中 ， 然 后 又 能 高 效 地 对 这 些 数据 进行 各 种 处 理 ， 需 要 借助 于 数据 库 管理 系统 的 使 用 。 
DBMS (Database Management System， 数 据 库 管理 系统 ) 是 位 于 用 户 和 操作 系统 之 间 的 一 
层 数 据 管理 软件 ， 它 的 功能 主要 包括 以 下 几 个 方面 。 

口 数据 定义 功能 ; 

口 数据 操纵 功能 ; 

口 数据 库 的 运行 管理 ; 

口 数据 库 的 建立 和 维护 功能 。 

4. 数据 库 系 统 


DBS (Database System， 数 据 库 系 统 ) 是 指 在 计算 机 系统 中 引入 数据 库 后 的 系统 。 一 
般 由 数据 库 、 数 据 库 管理 系统 (及 其 开发 工具 )、 应 用 系统 、 数 据 库 管 理 员 和 用 户 构 成 。 在 
一 般 不 引起 混淆 的 情况 下 ， 常 常 把 数据 库 系 统 简 称 为 数据 库 。 数 据 库 系统 的 组 成 与 结构 如 
图 16-1 表示 。 


应 用 系统 


应 用 开发 工具 


数据 库 管 理 员 


图 16-1 数据 库 系统 的 组 成 与 结构 
由 图 16-1 可 见 ， 数 据 库 系统 包含 的 内 容 非 常 广泛 , 所 有 为 数据 库 服 务 的 计算 机 系统 以 
及 用 户 都 是 数据 库 系统 的 组 成 部 分 。 
16.1.2 SQL 语言 简介 
SQL (Structure Query Language， 结 构 化 查询 语言 ) 是 数据 库 的 核心 语言 ， 它 于 1974 
年 由 Boyce 和 Chamberlin 提出 ， 并 在 随后 的 几 年 里 得 到 了 IBM、Oracle 等 公司 的 数据 库 产 


品 的 支持 ， 然 后 于 1986 年 被 美国 国家 标准 化 组 织 ANSI 宣布 为 数据 库 工 业 标 准 ， 后 来 又 经 
过 多 次 修订 。 


名 说 明 : 目前 最 新 的 SQL 版 本 是 SQL 2006。 


。364 。 
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SQL 是 一 种 标准 的 数据 库 语 言 ， 是 面向 集合 的 描述 性 非 过程 化 语言 。 它 功能 强 、 效 率 
高 、 简 单 易学 、 易 维护 ， 充 分 体现 了 关系 数据 库 语 言 的 优点 。 其 主要 特点 如 下 : 

口 综合 统一 ; 

口 高 度 非 过 程 化 ; 

口 面向 集合 的 操作 方式 ; 

口 以 同一 种 语法 结构 提供 两 种 使 用 方式 ; 

口 语言 简洁 ， 易 学 易 用 。 

SQL 语句 可 以 分 为 4 大 类 : 数据 查询 语言 DQL、 数 据 操 纵 语言 DML、 数 据 定义 语言 
DDL 和 数据 控制 语言 DCL， 它 们 的 格式 如 下 所 示 。 

数据 查询 语言 DQL 的 基本 结构 是 由 SELECT 子 句 、FROM 子 句 、WHERE 子 句 组 成 
的 查询 块 。 

SELECT< 字 段 名 表 > 


FROM< 表 或 视图 名 > 
WHERE< 查 询 条 件 > 


数据 操纵 语言 DML 主要 有 以 下 3 种 形式 。 

口 插入 : INSERT; 

口 更 新 : UPDATE; 

口 删除 : DELETE。 

数据 定义 语言 DDL 用 来 创建 、 修 改 、 删 除数 据 库 中 的 各 种 对 象 一 一 表 、 视 图 、 索 引 、 
同义词 及 序列 等 ， 其 命令 动词 如 下 所 示 。 

口 创建 对 象 : CREATE; 

口 修改 对 象 ; ALTER:; 

口 删除 对 象 ; DROP。 

数据 控制 语言 DCL 用 来 授予 或 回收 访问 数据 库 的 某 种 权限 ， 控 制 数据 库 操纵 事务 发 
生 的 时 间 及 效果 ， 以 及 对 数据 库 实行 监视 等 ， 如 下 所 示 。 

口 GRANT: 授权 ; 

口 REVOKE: 取消 授权 ; 

口 COMMIT: 向 数据 库 提 交 改 变 ; 

口 ROLLBACK: 回 滚 ， 即 使 数据 库 回 到 上 次 提交 后 的 状态 。 

自 SQL 成 为 数据 库 的 国际 标准 语言 后 ， 各 个 数据 库 厂商 纷纷 推出 支持 SQL 的 软件 或 
与 SQL 的 接口 软件 。 目 前 大 多 数 的 数据 库 均 使 用 SQL 作为 共同 的 数据 库存 取 语 言 和 管理 
接口 ， 为 不 同 数据 库 系 统 之 间 的 互 操作 提供 了 极 大 的 方便 。 


16.1.3 MySQL 数据 库 简 介 


MySQL 是 最 流行 的 开放 源 代码 的 关系 数据 库 管 理 系统 , 它 是 由 MySQL AB 公司 开发 、 
发 布 并 支持 的 。MySQL AB 是 由 多 名 MySQL 开发 人 员 创办 的 一 家 商业 公司 ， 也 是 一 家 第 
二 代 开 放 源 码 公 司 ， 结 合 了 开放 源码 价值 取向 、 方 法 和 成 功 的 商业 模型 。 

MySQL 是 一 种 关系 数据 库 管 理 系 统 。 数 据 库 是 数据 的 结构 化 集合 ， 要 想 将 数据 添加 
到 数据 库 , 或 访问 、 处 理 计算 机 数据 库 中 保存 的 数据 , 需要 使 用 数据 库 管 理 系统 , 如 MySQL 


“We 
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服务 器 。 计 算 机 是 处 理 大 量 数据 的 理想 工具 。 因 此 ， 数 据 库 管理 系统 在 计算 方面 扮演 着 关 
键 的 中 心 角色 。 关 系数 据 库 将 数据 保存 在 不 同 的 表 中 ， 而 不 是 将 所 有 数据 放 在 一 个 大 的 仓 
库 内 , 这 样 就 增加 了 速度 并 提高 了 灵活 性 。 MySQL 的 SQL 指 的 是 “结构 化 查询 语言 ”, SQL 
是 用 于 访问 数据 库 的 最 常用 的 标准 化 语言 ， 它 由 ANSIISO SQL 标准 定义 ，MySQL 5 支持 
SQL 2003 版 本 。 

MySQL 数据 库 是 一 种 开放 源码 软件 。 开 放 源 码 也 就 意味 着 任何 人 都 能 使 用 和 改变 
MySQL 软件 ， 任 何人 都 能 从 Internet 上 下 载 MySQL 软件 ， 而 无 须 支付 任何 使 用 费用 。 如 
果 愿 意 ， 也 可 以 研究 源码 并 进行 恰当 的 更 改 ， 以 满足 自己 的 个 性 化 需求 。 


全 说 明 : MySQL 软件 遵循 http://www.fsf.org/licenses/ 处 定义 的 GPL (GNU 通用 公共 许可 
证 ) 。 如 果 对 GPL 不 满意 ,或 需要 在 自己 的 商业 应 用 程序 中 嵌入 MySQL 代码 ， 
可 以 购买 商业 许可 版 本 。 


MySQL 数据 库 服 务 器 具有 快速 、 可 靠 和 易于 使 用 的 特点 。MySQL 服务 器 最 初 是 为 处 
理 大 型 数据 库 而 开发 的 ， 与 现 有 的 数据 库 解 决 方案 相 比 ， 它 的 速度 更 快 。 多 年 以 来 ， 它 已 
成 功 地 应 用 于 众多 要 求 很 高 的 企业 应 用 环境 。 目 前 的 MySQL 服务 器 已 能 提供 丰富 和 有 用 
的 功能 ， 它 具有 良好 的 连通 性 、 速 度 和 安全 性 ， 而 且 将 来 还 会 一 直 不 断 地 发 展 。 这 些 特点 
使 得 MySQL 十 分 适合 构建 基于 Internet 的 数据 库 。 

MySQL 服务 器 工作 在 客户 端 /服务 器 模式 下 , 由 支持 不 同 后 端的 1 个 多 线程 SQL 服务 
器 、 多 种 不 同 的 客户 端 程 序 和 库 、 众 多 的 管理 工具 和 应 用 编程 接口 API 组 成 。 另 外 , MySQL 
也 可 以 工作 在 嵌入 式 系统 中 ， 或 者 将 其 链接 到 其 他 的 应 用 程序 中 ， 从 而 获得 更 小 、 更 快 和 
更 易 管 理 的 产品 。 由 于 MySQL 的 优良 特性 ， 网 络 上 有 大 量 可 用 的 共享 MySQL 软件 ， 流 
行 的 编程 语言 均 支 持 MySQL 数据 库 服务 器 。 
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MySQL 数据 库 是 Linux 操作 系统 上 用 得 最 多 的 数据 库 系 统 , 它 可 以 非常 方便 地 与 其 他 
服务 器 ， 如 Apache、Vsftpd、Postfix 等 集成 在 一 起 。 下 面 介 绍 RHEL 6 平台 MySQL 数据 
库 服 务 器 的 安装 、 运 行 、 配 置 和 管理 方法 。 


16.2.1 MySQL 数据 库 软 件 的 安装 与 运行 


默认 情况 下 RHEL 6 操作 系统 安装 完成 后 , 并 没有 安装 MySQL 包 , 如 果 要 安装 MySQL 
数据 库 ， 可 以 从 http://dev.mysql.com/downloads/ 处 下 载 For RHEL 6 的 RPM 包 ， 目 前 最 新 
版 本 是 5.5.27。 也 可 以 从 RHEL 6 发 行 版 的 光盘 把 有 关 MySQL 的 RPM 包 复 制 过 来 。 安 装 
完整 的 MySQL 数据 库 需要 以 下 几 个 RPM 包 文件 。 

口 perl-DBI-1.609-4.el6.i686.rpm: Perl 语言 的 数据 API。 

口 perl-DBD-MySQL-4.013-3.e16.i686.rpm: MySQL 与 Perl 语言 的 接口 程序 包 。 

口 mysql-5.1.61-4.e16.i1686.rpm: MySQL 数据 库 客户 端 程序 。 

口 mysql-connector-odbc-5.1.Sr1144-7.el6.i686.rpm: MySQL 数据 库 与 ODBC 的 连接 器 。 

口 mysql-server-5.1.61-4.el6.i686.rpm: MySQL 数据 库 服务 器 程序 。 
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把 上 述 文件 复制 到 当前 目录 后 ， 依 次 输入 以 下 命令 进行 安装 。 

rpm -ivh perl-DBI-1.609-4.e16.i686.rpm 

rpm -ivh perl-DBD-MySQL-4.013-3.e16.i686.rpm 

rpm -ivh mysql-5.1.61-4.e16.i686.rpm 

rpm -ivh mysql-connector-odbc-5.1.5r1144-7.e16.i686.rpm 

rpm -ivh mysql-server-5.1.61-4.e16.i686.rpm 

装 成 功 后 ， 有 关 MySQL 服务 器 软件 的 几 个 重要 文件 分 布 如 下 所 示 。 
/etc/re.d/init.d/mysqld: MySQL 服务 器 的 启动 脚本 。 
/usr/bin/mysqlshow: 显示 数据 库 、 表 和 列 信息 。 
/usr/libexec/mysqld: MySQL 服务 器 的 进程 程序 文件 。 
/usr/libexec/mysqlmanager: 实例 管理 程序 文件 。 
/usr/share/doc/: 存放 说 明文 件 的 目录 。 
/usr/share/man/man1/..….: 存放 手册 页 的 目录 。 
/varlib/mysql/: MySQL 服务 器 的 数据 库 文件 存储 目录 。 
/varlog/mysqld.log: MySQL 服务 器 的 日 志文 件 。 

为 了 运行 mysqld， 可 以 输入 以 下 命令 : 


# /etc/rc.d/init.d/mysqld start 


再 输入 以 下 命令 查看 一 下 进程 是 否 已 启动 。 


[root@localhost mysql]# ps -eaflgrep mysqld 

root 12448 1 0'09;:51 pta/1 00:00:00 /bin/sh /usr/bin/mysqld safe 
--datadir=/var/lib/mysql --socket=/var/lib/mysql/mysql.sock 
--pid-file=/var/run/mysqld/mysqld.pid --basedir=/usr --user=mysql 

mysql 12537 12248 1 09:50 pta/l 00:00:00 /usr/libexec/mysqld 
--basedir=/usr --datadir=/var/lib/mysql --user=mysql 
--log-error=/var/log/mysqld.1og --pid-file=/var/run/mysqld/mysqld.pid 
--socket=/var/lib/mysql/mysql.sock 

root 12559 12277" 0 09:51 pts/1 00:00:00 grep mysqld 
[root@localhost mysql]# 


可 见 ，MySQL 服务 器 启动 了 两 个 进程 。 其 中 ，/usr/bin/mysqld_safe 是 一 个 脚本 程序 ， 
由 root 用 户 运 行 ， 它 的 作用 是 启动 真正 的 服务 器 进程 mysqld， 并 一 直 监 控 其 运行 情况 。 如 
果 发 现 其 死机 时 ， 就 重新 启动 它 。 还 有 一 个 就 是 真正 的 服务 器 进程 mysqld， 它 以 mysql 用 
户 的 身份 运行 。 


全 说 明 : 安装 MySQL 数据 库 RPM 包 时 ， 会 自动 创建 mysql 用 户 。 


进程 启动 后 ， 可 以 用 以 下 命令 查看 一 下 mysqld 默认 的 监听 端口 是 否 已 经 打开 。 

# netstat -anlP | grep 3306 

tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN 1121/mysqld 

# 

可 见 ，3306 端口 已 经 处 于 打开 状态 ， 并 且 是 由 mysqld 进程 监听 的 。 为 了 确保 网 络 上 
的 客户 端 能 够 访问 MySQL 服务 器 ， 如 果 防 火 墙 未 开放 这 个 端口 ， 可 以 输入 以 下 命令 开放 
这 个 端口 。 


# iptables -I INPUT -p tcp --dport 3306 -j ACCEPT 


DOOOOOOoOOWw Wom 
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或 者 用 以 下 命令 清空 防火 墙 的 所 有 规则 。 
# iptables -了 
上 述 过 程 完成 后 ， 就 可 以 通过 客户 端 连 接 到 MySQL 服务 器 了 。 为 了 测试 MySQL 是 
否 已 正常 启动 ， 可 以 执行 以 下 命令 ， 其 功能 是 列 出 MySQL 当前 的 版 本 情况 。 
# mysqladmin version 


mysqladmin Ver 8.42 Distrib 5.1.61, for redhat-linux-gnu on i386 
Copyright (c) 2000, 2011, Oracle and/or its affiliates. All rights reserved. 


mn 


Oracle is a registered trademark of Oracle Corporation and/or its 
affiliates. Other names may be trademarks of their respective 


owners. 
Server version LS 

Protocol version 10 

Connection Localhost via UNIX socket 
UNIX socket /var/lib/mysql/mysql.sock 
Uptime: 1 min 39 sec 


Threads: 1 Questions: 2 Slow queries: 0 Opens: 15 Flush tables: 1 Open 
tables: 8 Queries per second avg: 0.20 


出 现 类 似 以 上 结果 时 ， 表 明 MySQL 服务 器 已 经 在 正常 运 
16.2.2 ”MySQL 数据 库 客户 端 


有 许多 不 同 的 MySQL 客户 端 程序 可 以 连接 到 MySQL 服务 器 ， 以 便 能 访问 数据 库 或 
执行 管理 任务 。 它 们 可 以 在 本 机 ， 也 可 以 通过 网 络 对 数据 库 进行 远程 管理 。RPM 包 
mysql-5.1.61-4.e16.i686 就 包含 了 丰富 的 MySQL 客户 端 程序 ， 这 些 程序 都 是 通过 命令 行 的 
方式 进行 操作 的 。 还 有 很 多 第 三 方 的 MySQL 客户 端 工 具 ， 有 些 可 以 提供 操作 非常 方便 的 
图 形 界面 。 下 面 先 对 mysql-5.1.61-4.e16.i686 包 中 的 客户 端 工具 做 介绍 ， 有 关 图 形 界面 的 客 
户 端 ， 可 以 参见 16.2.3 节 。 

最 常用 的 MySQL 客户 端 工具 是 mysql 命令 ， 它 是 一 个 简单 的 SQL 外壳， 支持 交互 式 
和 非 交互 式 使 用 。 当 采用 交互 方式 时 , 查询 结果 采用 ASCII 表格 式 。 当 采用 非 交 互 方式 ( 例 
如 ， 用 作 过 滤器 ) 时， 结果 采用 TAB 分 割 符 格 式 。 可 以 使 用 命令 行 选 项 更 改 输出 格式 。 使 
用 mysql 很 简单 ， 可 以 直接 在 命令 提示 符 下 使 用 ， 其 常用 的 命令 格式 如 下 : 

mysql [-h < 主机 >] [-u < 用 户 名 >] [-p] [数据 库 名 ] 


上 面 命令 格式 ,“ 主 机 ”表示 MySQL 服务 器 所 在 的 主机 ， 本 127.00,1。 
“用 户 名 ”是 指 MySQL 数据 库 中 的 用 户 名 ， 初 始 状态 下 ，MySQL 服务 器 中 只 有 一 个 管理 
员 用 户 ， 名 为 root， 没 有 密码 (注意 : 这 个 root 和 操作 系统 中 的 root 不 是 一 回 事 )。-p 表 
示 登 录 时 要 输入 密码 ， 如 是 没有 这 个 选项 ， 表 示 用 户 没有 密码 ， 不 需要 输入 就 可 以 直接 登 
录 。“ 数 据 名 ”表示 用 户 登录 后 要 使 用 哪 一 个 数据 库 ，MySQL 可 以 同时 管理 很 多 数据 库 ， 
每 个 数据 库 都 有 一 个 名 称 。 下 面 是 mysql 在 本 机 登录 的 情况 。 


[root@localhost ~]# mysql 
Welcome to the MySQL monitor. Commands end with ; or \g. 
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Your MySQL connection id is 3 
Server version: 5.1.61 Source distribution 


Copyright (c) 2000, 2011, Oracle and/or its affiliates. All rights reserved. 


Oracle is a registered trademark of Oracle Corporation and/or its 
affiliates. Other names may be trademarks of their respective 
owners. 


Type 'help:' or '\h' for help. Type '\c' to clear the current input statement. 
mysql> 


此 时 ，mysql 是 在 本 机 以 root 用 户 登录 ， 没 有 密码 ， 也 没有 指定 使 用 哪 一 个 数据 库 。 
下 面 看 一 下 在 mysql 中 如 何 修改 用 户 密码 、 如 何 创建 用 户 。 


mysql> use mysql // 使 用 mysql 数据 库 

Reading table information for completion of table and column names 

You can turn off this feature to get a quicker startup with -A 

Database changed 

mysql> update user set password=password('root.123') where user='root'; 
// 修 改 root 记录 的 password 字段 

Query OK, 2 rows affected (0.00 sec) 

Rows matched: 2 Changed: 2 Warnings: 0 

mysql> insert into user(host,user,password) values("%","abc",password 


("abc")); // 往 user 表 插 入 一 条 abc 记录 
Query OK, 1 row affected, 3 warnings (0.00 sec) 

mysql> flush privileges; // 刷 新 MysQL 的 系统 权限 相关 表 
Query OK, 0 rows affected (0.00 sec) 

mysql> 


MySQL 服务 器 安装 完成 后 ,事先 会 创建 一 个 名 为 mysql 的 数据 库 , 里面 包含 了 MySQL 
所 有 的 系统 信息 。 其 中 有 一 个 名 为 user 的 表 ， 包 含 了 系统 中 所 有 的 用 户 信息 ， 如 果 往 这 个 
表 中 加 入 记录 ， 就 意味 着 创建 了 用 户 。user 表 的 password 字段 存放 着 密码 ， 如 果 改 变 了 这 
个 字段 的 值 ， 就 意味 着 改变 了 用 户 的 密码 。 另 外 ， 每 一 个 用 户 记录 都 有 一 个 host 字段， 其 
中 的 值 表 示人 允许 该 用 户 从 哪 一 台 主 机 登录 ,“%” 表 示 可 以 从 所 有 客户 机 进行 远程 登录 ， 
localhost 表示 只 能 从 本 机 登录 。 例 如， 下 面 是 mysql 在 客户 机 10.10.1.253 上 分 别 以 root 和 
abc 用 户 身 份 登录 10.10.1.29 服务 器 的 情况 。 


[os@radius os]$ mysql -h 10.10.1.29 -u root -p 

Enter password: 

ERROR 1130 (00000): Host '10.10.1.253' is not allowed to connect to this 
MySQL server # root 用 户 不 能 登录 

[[os@radius os]$ mysql -h 10.10.1.29 -u abc -p 

Enter password: 

Welcome to the MySQL monitor. Commands end with ; or \g. 

Your MySQL connection id is 3 

Type 'help;' or '\h' for help. Type '\c' to clear the buffer. 

mysql> # abc 用 户 可 以 登录 


在 mysql 数据 库 中 ，user 表 root 用 户 记录 的 host 字段 的 值 是 localhost， 所 以 不 能 从 其 
他 客户 机 远程 登录 ， 而 abc 用 户 记 录 的 host 字段 的 值 是 “%” 所 以 能 从 客户 机 远程 登录 。 
host 字段 的 值 还 可 以 是 一 台 具 体 主 机 的 名 称 或 IP 地 址 。 

在 mysql 命 令 提示 符 下 ,可 以 输入 各 种 各 样 的 SQL 命令 对 数据 库 进行 操作 。 可 以 这 样 
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说 ， 只 要 熟悉 SQL 命令 和 mysql 数据 库 的 结构 ， 几 乎 所 有 的 数据 库 管 理 操作 都 可 以 通过 
mysql 客户 端 进行 。 除 了 mysql 外 ，MySQL 服务 器 还 提供 了 很 多 其 他 客户 端 工具 ， 有 具体 命 
令 名 称 与 功能 如 下 所 示 。 


日 


DOOOOOOOOODODO 


myisampack: 生成 压缩 、 只 读 MyISAM 表 。 
mysqlaccess: 用 于 检查 访问 权限 的 客户 端 。 
mysqladmin: 用 于 管理 MySQL 服务 器 的 客户 端 。 
mysqlbinlog: 用 于 处 理 二 进 制 日 志文 件 的 实用 工具 。 
mysqlcheck: 表 维 护 和 维修 程序 。 

mysqldump: 数据 库 备份 程序 。 

mysqlhotcopy: 数据 库 热 备份 程序 。 

mysqlimport: 数据 导入 程序 。 

mysqlshow: 显示 数据 库 、 表 和 列 信息 。 
myisamlog: 显示 MyISAM 日 志文 件 内 容 。 
perror: 解释 错误 代码 。 

replace: 字符 串 替 换 实用 工具 。 

mysql_zap: 杀 死 符合 某 一 模式 的 进程 。 


每 个 命令 都 有 许多 不 同 的 选项 ， 这 些 选项 可 以 通过 “--help” 选 项 加 以 显示 ， 并 有 充分 


的 解释 。 


全 注意 ; 上 述 命令 执行 时 均 要 求 以 某 一 用 户 登录 ， 并 且 所 登录 的 用 户 要 有 相应 的 权限 。 


16.2.3 ”MySQL 图 形 界面 管理 工具 


RPM 包 mysql-5.1.61-4.e16.i686 提供 的 客户 端 工 具 尽 管 功能 十 分 强大 ,但 由 于 以 命令 行 
的 方式 操作 ， 对 使 用 人 员 的 要 求 比较 高 ， 不 仅 要 熟悉 各 种 命令 ， 而 且 还 要 熟悉 系统 数据 库 
的 结构 ， 因 此 ， 一 般 情况 下 是 提供 给 数据 库 管理 员 使 用 的 。 对 于 一 般 的 开发 人 员 和 数据 库 
操作 员 来 说 ， 最 常用 的 还 是 mysql 图 形 管理 工具 。 目 前 ， 常 见 的 MySQL 图 形 界面 管理 工 
具 主 要 有 以 下 一 些 。 


口 


口 


口 


口 
口 


phpMyAdmin: 用 PHP 写 的 一 个 软件 ， 功 能 非常 强大 ， 当 服务 器 不 支持 远程 连接 
时 ， 是 唯一 的 选择 。 

MySQL Control Center: 与 MS SQL Server 企业 管理 器 非常 相似 ， 但 是 已 经 停止 开 
发 了 ，MySQL 新 的 功能 它 并 不 支持 。 

MySQL-Front: 它 的 功能 也 非常 强大 ， 对 中 文 的 支持 也 非常 好 ， 但 是 是 商业 软件 ， 
而 且 它 也 已 经 停止 开发 了 。 

MySQL Query Browser: 这 是 MySQL 官方 版 本 的 图 形 管理 工具 。 

SQLyog: 该 软件 分 为 企业 版 和 免费 版 本 ， 免 费 版 的 功能 也 非常 强大 。 


下 面 介 绍 MySQL Query Browser 和 SQLyog 这 两 种 图 形 管理 工具 。MySQL Query 
Browser 是 MySQL 官方 推荐 的 MySQL 图 形 管理 工具 ， 支 持 各 种 平台 ， 可 以 从 MySQL 的 
官方 网 站 下 载 。 目 前 最 新 版 本 是 5.0 版 ， 下 载 地 址 是 http://dev.mysql.com/downloads/gui- 


id 


tools/。For Windows 版 本 下 载 安装 后 ， 初 次 运行 MySQL Query Browser 时 ， 需 要 建立 一 个 
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命名 的 数据 库 连 接 ， 出 现 的 对 话 框 如 图 16-2 所 示 。 


回 Sup New Connection [ET 一 > 一 | 
Connection Name: Type a name for the connection 
Connection Method: «~ Standard (TCP/IP) v Method to use to connect to the RDBMS 


| Parameters |Advanced 


Hostname: 127.0.0.1 Part 3306 Name or IP address of the server host. -TCP/IP port. 
| Usemame: root Name of the user to connect with. ' 
Password: [StorenVaut... |[ Cear | The users password Wl be requested later if it's not set. 
Defaut Schema: The schema to use as default schema. Leave blank to select tlater, 


TestComecton | | Canel | [| ox 


图 16-2 MySQL Query Browser 的 建立 连接 对 话 框 


此 时 ， 要 输入 连接 的 名 称 、 要 连接 的 主机 名 称 或 地 址 、 端 口号 、 用 户 名 、 密 码 和 数据 


库 名 称 ， 


除 端口 号 默认 值 是 3306 以 外 ， 其余 的 值 要 手工 输入 注意: 这 里 输入 的 用 户 名 不 


可 以 是 “root”， 而 且 该 用 户 的 口令 不 能 为 室 )。 和 否则 ， 连 接 不 成 功 。 数 据 库 名 称 可 以 不 填 ， 
表示 要 访问 所 有 的 数据 库 。 


全 注意 : 


由 于 root 用 户 默认 只 能 在 本 机 登录 ， 如 果 要 从 另 一 台 客 户 机 连接 ， 需 要 修改 好 相 
应 的 设置 ， 具 体 方法 见 16.2.2 节 。 


如 果 参 数 输 入 正确 ，MySQL 服务 器 的 运行 和 网 络 连接 均 正常 ， 连 接 成 功 后 ， 将 出 现 
如 图 16-3 所 示 的 主 界面 。 


x | Sol Ehord % | Adnn (192 164 127139 区 


© 4 B40 wee honine zre LT DG 下 oto me /O000 es 
© 5 184827 sowtoses oo0msec/o0m0ses 国 


图 16-3 MySQL Query Browser 的 主 界面 
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在 以 上 界面 中 ,菜单 栏 下 面 是 查询 命令 输入 框 ， 可 以 输入 各 种 SQL 语句 ， 再 单 击 右边 
的 Execute 按钮 执行 。 执 行 后 的 结果 出 现在 下 面 的 结果 显示 框 内 ， 结 果 显 示 框 内 可 以 显示 
多 个 结果 集 ， 通 过 标签 进行 选择 。 右 边 显 示 的 是 MySQL 数据 库 的 树 状 结构 及 在 线 帮助 手 
册 。 另 外 ， 在 初始 界面 选择 Server Administration 命令 ， 可 以 调用 MySQL 管理 工具 ， 出 现 
如 图 16-4 所 示 的 窗口 。 


回 wysQot Workbench ef 


fF Options Fi 


sEcuamy 
Users and piege 
DATA EXPORT/ RESTORE 


由 Data Eport 16 mycount 
证 Data Impor/Restore 17 mycount 


图 16-4 MySQL Administrator 窗口 


MySQLAdministrator 是 与 MySQL Query Browser 一 起 提供 的 工具 , 主要 对 MySQL 数 
据 库 进行 管理 。 从 图 16-4 中 可 以 看 出 ， 它 包含 了 很 多 的 工具 ， 包 括 用 户 管理 、 性 能 监控 、 
志 管 理 、 数 据 库 的 备份 与 恢复 和 数据 库 同步 等 。 
SQLyosg 的 官方 网 站 是 http:/www.webyog.com， 目 前 最 新 版 本 是 10.3。 下 载 安装 后 ， 
初次 运行 时 ， 将 出 现 连 接 对 话 框 ， 单 击 New 按钮 建立 一 个 新 连接 ， 再 命名 连接 以 后 ， 将 出 
现 连接 对 话 框 ， 如 图 16-5 所 示 。 


及 
重合 bs 
保存 密码 
~- 使 用 压 纺 夫 天 | 
WORKS WITH 会 话 空 用 超时 加 
MYSQL | om 加 
上 Ey 


图 16-5 SQLyosg 的 连接 设置 对 话 框 
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此 时 ， 可 以 输入 要 连接 的 主机 名 称 或 地 址 、 用 户 名 、 密 码 、 端 口号 和 数据 库 名 称 ， 其 
默认 值 如 图 16-5 所 示 。 数 据 库 名 称 可 以 不 填 ， 表 示 要 访问 所 有 的 数据 库 。 如 果 MySQL 服 
务 器 的 运行 、 配 置 和 网 络 连接 均 正常 ， 连 接 成 功 后 ， 将 出 现 如 图 16-6 所 示 的 主 界面 。 
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- 。 国 数 据 查找 十 
ab]-> 下 一 个 标签 ， [Ctrl+Space]-> 列 出 所 有 标签 ， [Ctrl+Ent..] 
ysql 


人 国 2 去 数 据 fr 3 信息 


1 queries executed, 1 success, 0 errors, 0 Warnings 
查询 ，use mysql 


共 。 行 受到 影响 


图 16-6 SQLyog 的 主 界面 


除 菜 单 和 工具 栏 外 ，SQLyog 的 主 界面 主要 由 3 部 分 组 成 。 左 边框 内 列 出 了 数据 库 结 
构 树 ,包括 有 哪儿 个 数据 库 ， 每 个 数据 库 内 有 哪些 表 、 视 图 等 对 象 ， 每 个 对 象 有 哪些 列 、 
索引 等 。 右边 的 上 半 部 分 是 构造 查询 的 窗口 , 可 以 在 这 里 直接 输入 SQL 语句 或 用 其 他 方式 
构造 查询 命令 。 右 边 的 下 半 部 分 是 查询 命令 的 执行 结果 ， 以 及 其 他 一 些 查 询 信息 。 


全 说 明 : SQLyog 的 数据 库 管理 功能 ， 如 数据 库 备 份 、 数 据 导 出 、 数 据 同步 等 ， 可 以 通过 
选择 工具 栏 上 相应 的 按钮 来 运行 。 


16.3 MySQL 服务 器 的 配置 与 连接 


MySQL 安装 完成 后 ,默认 情况 下 已 经 能 正常 运行 ,但 初始 的 配置 并 不 一 定 能 让 MySQL 
服务 器 工作 于 最 佳 状态 ,为 了 适应 具体 应 用 的 实际 情况 ， 需 要 对 MySQL 的 配置 进行 调整 。 
下 面 简单 介绍 MySQL 服务 器 的 配置 方法 ， 以 及 通过 编程 语言 与 MySQL 服务 器 进行 连接 
的 方法 。 

16.3.1 配置 文件 my.cnf 

MySQL 服务 器 默认 的 配置 文件 是 /etc 目录 下 的 my.cnf 文件 ，MySQL 的 RPM 包 安 装 
完成 后 ， 这 个 文件 会 自动 提供 ， 但 里 面包 含 的 配置 指令 很 少 ， 用 于 初步 学 习 时 使 用 。 与 这 
个 简单 的 配置 文件 一 起 提供 的 还 有 另外 5 个 例子 配置 文件 ， 它 们 位 于 


/usr/share/doc/mysql-server-5.1.61 目录 下 。 这 5 个 文件 的 名 称 和 配置 目标 如 下 所 示 。 
口 my-small.cnf: 是 为 运行 在 小 内 存 (<=64MB) 主机 上 的 数据 库 而 设计 的 。 在 这 种 
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配置 下 ，mysqld 进程 没有 占用 很 多 的 资源 ，MySQL 数据 库 只 是 不 时 地 使 用 一 下 。 

口 my-medium.cnf; 也 是 为 运行 在 小 内 存 (32MB 一 64MB) 主机 的 数据 库 而 设计 的 ， 
但 此 时 的 MySQL 起 到 重要 的 作用 。 最 常见 的 情况 是 这 个 数据 库 与 其 他 应 用 系统 ， 
如 Web 等 一 起 运行 在 一 台 主 机 上 ， 而 主机 的 内 存 会 在 128MB 以 上 。 

口 my-large.cnf: 是 为 专门 运行 MySQL 数据 库 的 主机 而 设计 的 ， 这 种 主机 应 该 为 
MySQL 数据 库 提供 多 达 512MB 的 内 存 。 一 般 情 况 下 ， 这 种 类 型 的 系统 一 般 要 达 
到 1GB 的 内 存 ， 以 便 它 能 够 同时 处 理 操作 系统 与 数据 库 应 用 程序 。 

口 my-huge.cnf: 是 为 企业 应 用 的 MySQL 数据 库 而 设计 的 , 这 样 的 数据 库 需 要 专用 的 
服务 器 主机 和 1GB 或 1GB 以 上 的 RAM。 

口 my-innodb-heavy-4G.cnf: 是 为 使 用 InnoDB 引擎 的 MySQL 数据 库 而 设计 的 。 它 应 
该 运行 在 专用 的 服务 器 主机 上 ， 拥 有 的 内 存 至 少 有 4GB， 数 据 连接 比较 少 ， 但 查 
询 非 常 复杂 。 

以 上 的 例子 配置 文件 中 的 配置 指令 种 类 相差 不 大 ， 主 要 的 区 别 在 于 配置 参数 的 值 不 

同 。 因 此 下 面 只 是 以 my-medium.cnf 文件 为 例 ， 介 绍 MySQL 常用 的 配置 指令 。 


名 说明: 一 般 常见 的 应 用 ， 如 一 台 用 作 一 般 网 站 的 主机 ， 里 面 可 能 同时 运行 着 Web 服务 、 
Web 编程 语言 模块 和 MySQL 数据 库 ， 此 时 的 MySQL 使 用 my-medium.cnf 配置 
文件 最 为 合适 。 

my-medium.cnf 配置 文件 由 很 多 配置 段 组 成 ， 每 一 个 配置 段 都 有 一 个 名 称 ， 由 方 括号 
包围 ， 与 某 一 应 用 程序 对 应 ， 有 具体 如 下 所 示 。 
[client] 段 包含 的 配置 指令 将 传递 给 所 有 的 客户 端 。 


[client] 

# 提供 默认 的 用 户 密码 

#password = your password 

# 客户 端 连接 服务 器 时 , 默认 使 用 服务 器 的 3306 端口 

port = 3306 

# 为 MySQL 客户 端 指定 一 个 与 服务 器 通信 的 本 地 套 接 字 文 件 
socket = /var/lib/mysql/mysql.sock 
[mysqld] 段 包含 的 是 为 MySQL 服务 器 配置 的 指令 。 
[mysqld] 


# 服务 器 监听 的 端口 号 
port = 3306 


# 为 MySQL 服务 器 指定 一 个 与 客户 端 通信 的 本 地 套 接 字 文 件 
Socket = /var/lib/mysql/mysql.sock 


# 避免 外 部 数据 锁 
skip-locking 


# 设置 用 来 存放 索引 区 块 的 RMA 值 (默认 设置 是 8MB) 


key buffer = 16M 
# 设置 系统 最 大 的 缓冲 区 
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max allowed packet = 1M 


# le 当 MysQL 访问 一 个 表 时 ,如果 在 表 缓 存 中 还 有 空间 , 该 表 就 被 打开 并 放 
入 其 
table cache = 64 


# 指定 排序 高 速 缓存 的 大 小 
sort buffer size = 512K 


# 指定 连接 缓冲 区 和 结果 缓冲 区 的 初始 大 小 
net buffer length = 8K 


# 为 从 数据 表 顺 序 读 取 数据 的 读 操 作 保留 的 缓存 区 大 小 (默认 设置 是 128KB) 
read buffer size = 256K 


# 类 似 于 read buffer size 选项 ,但 针对 的 是 按 某 种 特定 次 序 输出 的 查询 结果 (默认 设置 是 256KB) 
read rnd buffer size = 512K 


# 在 修复 表 或 创建 索引 时 ,分 配给 ISAM 索引 排序 的 缓冲 区 大 小 


myisam Sort buffer size = 8M 


# 不 通过 TCP 网 络 与 客户 端 进行 连接 , 而 是 采用 UNIX 的 命名 管道 或 套 接口 用 于 客户 端 与 服务 器 运 
行 在 同一 台 主 机 时 ,增加 安全 性 能 


#skip-networking 


# 设置 二 进 制 日 志 的 文件 名 为 mysql-bin。 二 进 制 日 志 包 含 所 有 已 执行 的 更 新 数据 的 语句 , 其 目 
的 是 在 恢复 数据 库 时 利用 它 把 数据 尽 可 能 恢复 到 最 后 的 状态 。 如 果 做 同步 复制 (Replication)， 
也 需要 使 用 二 进 制 日 志 来 传送 修改 情况 

log-bin=mysql-bin 


# 设置 服务 器 的 ID 号 ,在 设置 主 /从 数据 库 时 需要 


server-id i 


[mysqldump] 段 指定 用 户 使 用 mysqldump 工具 在 不 同类 型 的 SQL 数据 库 之 间 传 输 数 据 
时 的 配置 。 
[mysqldump] 


# 表示 支持 较 大 数据 库 的 转 储 


quick 

# 设置 用 来 传输 数据 库 表 到 其 他 数据 库 的 最 大 允许 包 大 小 。 应 大 于 客户 与 服务 器 之 间 的 通信 所 使 用 
的 信息 包 

max_allowed Packet = 16M 

[mysql] 配 置 段 指定 启动 MySQL 服务 的 配置 。 

[mysql] 


# 设置 这 个 选项 时 ,服务 启动 得 比较 快 


no-auto-rehash 


# 如 果 用 户 对 SQL 不 熟悉 , 可 以 启用 安全 更 新 功能 


#safe-updates 


[isamchk] 段 指定 使 用 isamchk 工具 修复 isam 类 型 表 时 所 采用 的 配置 。 
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[isamchk] 


key_buffer = 20M # 用 于 存放 索引 块 的 缓冲 区 大 小 
sort buffer size = 20M # 排序 时 使 用 的 缓冲 区 大 小 
read buffer = 2M # 读 操作 时 使 用 的 缓冲 区 大 小 
write buffer = 2M # 写 操作 时 使 用 的 缓冲 区 大 小 


[myisamchk] 指 定 使 用 myisamchk 工具 修复 myisam 类 型 表 时 所 采用 的 配置 。 


[myisamchk] 

key_buffer = 20M # 用 于 存放 索引 块 的 缓冲 区 大 小 
sort buffer size = 20M # 排序 时 使 用 的 缓冲 区 大 小 
read buffer = 2M # 读 操 作 时 使 用 的 缓冲 区 大 小 
write buffer = 2M # 写 操作 时 使 用 的 缓冲 区 大 小 


[mysqlhotcopy] 指 定 使 用 mysqlhotcopy 热 备 工具 时 采用 的 配置 。 
[mysqlhotcopy] 


# 在 一 个 数据 库 热 备份 期 间 ， 连 接 会 被 挂 起 。 该 指令 设置 最 大 的 超时 时 间 。 默 认为 28800 秒 

interactive-timeout 

如 果 要 使 用 my-medium.cnf 文件 所 指定 的 配置 ， 可 以 把 它 复制 到 /etc 目录 ， 并 改名 为 
my.cnf， 此 时 该 文件 是 对 全 局 起 作用 的 。 也 可 以 把 它 复制 到 MySQL 服务 器 的 数据 库 文件 
存储 目录 ， 如 /var/lib/mysql， 并 改名 为 my.cnf， 此 时 只 对 该 服务 器 起 作用 。 还 可 以 复制 到 
某 一 用 户 个 人 目录 下 ， 并 改名 为 .my.cnf， 此 时 只 对 该 用 户 起 作用 。 


16.3.2 mysqld 进程 配置 


在 /etc/my.cnf 配置 文件 中 ， 各 种 MySQL 工具 都 可 以 有 一 段 配置 指令 。 其 中 mysqld 进 
程 的 配置 指令 以 [mysqld] 为 起 始 标志 。 此 外 ，MySQL 服务 器 可 以 启动 多 个 mysqld 进程 ， 
其 他 进程 配置 分 别 以 [mysqld1]、[mysqld2]…… 为 起 始 标 志 。 如 表 16-1 所 示 ， 列 出 了 一 些 
与 mysqld 进程 启动 时 有 关 的 配置 选项 。 

表 16-1 所 列 的 配置 选项 也 可 以 在 启动 mysqld 进程 时 ， 以 命令 行 选项 的 方式 提供 。 
mysqld 所 有 的 命令 行 选项 和 功能 解释 可 以 通过 以 下 命令 列 出 。 


# /usr/libexec/mysqld --verbose --help | more 


以 上 命令 运行 时 ， 还 会 列 出 很 多 的 MySQL 系统 变量 ， 这 些 系统 变量 是 在 MySQL 服 
务 器 运行 时 维护 的 ， 按 照 其 作用 范围 可 以 分 为 以 下 两 种 。 

一 种 是 全 局 变量 ， 它 影响 服务 器 的 全 局 操作 。 当 服务 器 启动 时 ， 将 所 有 全 局 变量 初始 
化 为 默认 值 , 可 以 在 选项 文件 或 命令 行 中 指定 选项 的 值 来 代替 这 些 默 认 值 。 服务 器 启动 后 ， 
通过 连接 服务 器 并 执行 “SET GLOBAL 变量 名 [= 值 ] ”语句 可 以 更 改动 态 全 局 变量 ， 但 必 
须 具 有 管理 员 的 权限 。 

还 有 一 种 是 会 话 变量 ， 它 只 影响 与 其 连接 的 具体 客户 端的 相关 操作 ， 连 接 时 使 用 相应 
全 局 变量 的 当前 值 对 客户 端 会 话 变量 进行 初始 化 。 客 户 端 可 以 通过 “SET SESSION 变量 
名 [= 值 ]” 语 句 来 更 改动 态 会 话 变量 ， 更 改 会 话 变量 不 需要 特殊 权限 ， 但 客户 端 只 能 更 改 自 
己 的 会 话 变量 ， 而 不 能 更 改 其 他 客户 端的 会 话 变量 。 
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表 16-1 部 分 mysqld 进程 配置 选项 
功 能 


MySQL 安装 目录 的 路 径 ， 通 常 配置 文件 中 的 其 他 路 径 是 在 该 路 径 下 面 的 


bind-address=IP 


console 


指定 与 主机 的 哪个 网 络 接口 绑 定 ， 默 认 时 与 所 有 接口 绑 定 
除了 写 入 日 志 外 ， 还 将 错误 消息 写 入 stderr 和 stdout 


character-sets-dir=path 


字符 集 安装 的 目录 路 径 


chroot=path 


将 某 一 目录 设 为 mysqld 的 根 目录 ， 是 一 种 安全 措施 


character-set-server=charset 


指定 charset 作为 默认 的 服务 器 字符 集 


core-file 如 果 mysqld 异常 终止 ， 要求 把 内 核 文 件 写 入 磁盘 
datadir=path 数据 库 文件 的 的 路 径 
default-time-zone=type 设置 服务 器 默认 的 时 区 


init-file=file 
log[=file] 
log-bin=[file] 
log-bin-index[=file] 
log-error[=file] 


log-slow-queries 
pid-file=path 
port=port_num 
Server id 


Skip-bdb 


Skip-networking 


mysqld 启动 时 从 该 文件 读 SQL 语句 并 执行 ,每 个 语句 必须 在 同一 行 且 不 
包括 注释 

设置 常规 日 志文 件 的 文件 名 ， 默 认为 <host_ name>.log 

设置 二 进 制 日 志文 件 的 文件 名 ， 默 认为 <host_name>-bin，mysqld 将 更 改 
数据 的 所 有 操作 记 入 该 文件 ， 用 于 备份 和 复制 

设置 二 进 制 日 志文 件 的 索引 文件 名 ， 默 认为 <host_name>-bin.index 
设置 错误 日 志 ， 默 认 使 用 <host_name>.err 作为 文件 名 ， 如 果 指 定 的 文件 
没有 扩展 名 ， 则 要 加 上 .err 扩展 名 

将 所 有 执行 时 间 超过 long_query_time 秒 的 查询 记 入 该 文件 

进程 ID 文件 的 路 径 

监听 TCP/IP 连接 时 使 用 的 端口 号 

指定 mysqld 进程 的 一 个 编号 ， 值 为 以 1 开始 的 整数 

禁用 BDB 存储 引擎 ， 可 以 节省 内 存 ， 并 可 能 加 速 某 些 操作 

不 监听 TCP/IP 连接 ， 必 须 通过 命名 管道 或 Unix 套 接 字 文 件 与 mysqld 进 
行 连接 ， 对 于 只 允许 本 地 客户 端的 系统 ， 可 以 使 用 该 选项 ， 以 增加 安全 
性 能 


在 Unix 中 ， 该 选项 指定 用 于 本 地 连接 的 Unix 套 接 字 文件 ， 默 认 值 是 


SEE /tmp/mysql.sock 
tmpdir=path 指定 临时 文件 的 路 径 


User={user_name | user id} 


指定 运行 mysqld 进程 的 操作 系统 用 户 


任何 访问 全 局 变量 的 客户 端 都 可 以 即时 看 见 全 局 变量 的 改变 。 但 是 ， 如 果 客 户 端 要 从 
某 一 全 局 变量 初始 化 自己 的 会 话 变量 ,这 一 全 局 变量 的 更 改 只 对 后 来 连接 的 客户 端 有 影响 ， 
而 不 会 影响 已 经 连接 上 的 客户 端的 会 话 变量 ， 即 使 是 执行 SET GLOBAL 语句 的 客户 端 也 


一 样 。 下 面 是 两 个 设置 系统 变量 的 例子 。 
mysql> SET SESSION sort buffer size = 10 M; 
mysql> SET GLOBAL sort buffer size = 20 M; 


以 上 两 条 命令 都 是 设置 系统 变量 sort buffer size 的 值 。 SESSION 选项 表示 设置 的 是 会 
话 变 量 , GLOBAL 选项 表示 设置 全 局 变量 , 如 果 两 个 选项 均 没 有 , 则 语句 将 设置 会 话 变 量 。 
由 于 全 局 变量 只 影响 后 来 连接 的 客户 端 ， 因 此 以 上 两 条 命令 执行 后 ， 该 客户 端的 
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sort_buffer size 的 值 还 是 10MB。 


全 说 明 : 当 使 用 启动 选项 或 SET 命令 设置 系统 变量 时 ， 变 量 值 可 以 使 用 后 级 KK、M 或 G， 
分 别 表示 字 节 数 是 千 、 兆 和 吉 。 


16.3.3 MySQL 实例 管理 器 


MySQL 实例 管理 器 可 以 通过 TCP/IP 端口 与 MySQL 服务 器 进行 连接 ， 用 来 监视 和 管 
理 MySQL 数据 库 服 务 器 进程 ， 包 括 启动 和 停止 MySQL 服务 器 。MySQL 实例 管理 器 可 以 
在 mysqld_safe 脚本 中 使 用 ， 也 可 以 在 远程 主机 上 使 用 。 

默认 情况 下 ， 操 作 系 统 调用 /etc/init.d/mysqld 脚本 启动 MySQL 服务 器 时 ， 先 调用 
mysqld_safe 脚本 ， 再 由 该 脚本 启动 mysqld 进程 。 但 是 ， 如 果 把 /etc/init.d/mysqld 脚本 中 的 
use_mysqld_safe 变量 设置 为 0， 便 可 以 禁用 mysqld_safe 脚本 ,而 是 使 用 MySQL 实例 管理 
器 来 启动 服务 器 。 此 时 ， 实 例 管理 器 的 行为 取决 于 MySQL 配置 文件 中 的 设置 。 如 果 没 有 
配置 文件 ，MySQL 实例 管理 器 将 采用 编译 时 默认 的 配置 来 启动 。 

如 果 配 置 文件 存在 ， 实 例 管理 器 将 分 析 配 置 文件 中 的 [mysqld] 配 置 段 (包括 [mysqld1] 
和 [mysqld2] 等 )。 每 个 部 分 指定 一 个 实例 。 启 动 时 实例 管理 器 将 启动 所 有 找到 的 实例 ， 关 
闭 时 默认 停止 所 有 实例 。[mysqld] 配 置 段 有 一 个 特殊 选项 mysqld-path， 它 只 能 用 实例 管理 
器 来 识别 ， 让 实例 管理 器 知道 mysqld 进程 文件 在 磁盘 中 的 哪个 位 置 。 此 外 ， 还 应 该 为 服务 
器 设置 basedir 和 datadir 选项 。 

MySQL 实例 管理 器 需要 创建 自己 的 用 户 ， 方 法 如 下 : 

# /usr/libexec/mysqlmanager --passwd >> /etc/mysqlmanager.passwd 

Creating record for new user. 

Enter user name: admin 

Enter password: 

Re-type password: 

# more /etc/mysqlmanager.passwd 


admin:*4ACFE3202A5FF5CF467898FC58AAB1D615029441 
# 


上 述 命令 为 实例 管理 器 创建 了 一 个 名 为 admin 的 用 户 ， 并 保存 在 /etc 目录 下 的 
mysqlmanager.passwd 文件 中 。 在 /etc/my.cnf 文件 中 ， 可 以 按 以 下 示例 配置 实例 管理 器 ， 它 
使 用 [manager] 配 置 段 ， 并 读 取 [mysqld] 配 置 段 来 创建 实例 。 


[manager] 
default-mysqld-path = /usr/local/mysql/libexec/mysqld 

#mysqld 进程 文件 的 位 置 
socket=/tmp/manager .sock # 指 定 通信 套 接口 文件 位 置 
pid-file=/tmp/manager.pid # 指 定 进程 PID 文件 
password-file = /etc/mysqlmanager.passwd ，”# 指 令 实例 管理 器 密码 文件 的 位 置 
monitoring-interval = 2 # 监 视 实例 的 间隔 时 间 , 单位 为 秒 
port = 2999 # 与 实例 管理 器 连接 时 使 用 的 TCP 端口 
下 面 再 给 出 /etc/my/cnf 中 两 个 实例 的 配置 示例 。 
[mysqld] 


datadir=/var/lib/mysql 
socket=/var/lib/mysql/mysql.sock 


“378 。 


第 16 章 MySQL 数据 库 服务 器 架设 


old passwords=1 
server id=1 
port=3307 
user=mysql 


[mysqld1] 

user=mysql 
datadir=/var/lib/mysqll 
socket=/var/lib/mysqll/mysql.sock 
server id=2 

port=3308 

user=mysql 


以 上 配置 中 ， 定 义 了 两 个 mysqld 实例 ， 两 者 除了 port、server_id、socket 等 配置 选项 
应 该 不 同 之 外 , 最 主要 的 是 dadadir 选项 也 应 该 不 一 样 。 上 述 配置 在 运行 前 , 在 /var/lib/mysql 
和 /var/lib/mysql 目录 都 应 该 已 经 存在 一 个 数据 库 。 初 始 的 数据 库 可 以 通过 运行 service 
mysqld start 命令 首次 启动 mysqld 时 得 到 ， 如 果 把 初始 my.cnf 文件 中 的 datadir 设 到 不 同 的 
目录 ， 就 可 以 得 到 不 同 的 初始 数据 库 。 上 述 配 置 完 成 后 ， 可 以 输入 以 下 命令 启动 实例 管 
理 器 。 


[root@localhost mysqll]# /usr/libexec/mysqlmanager & 

LUI SE 

081130 20:57:33 You are running mysqlmanager as root! This might 
introduce security problems. It is safer to use --user option istead. 


081130 20:57:33 loaded user admin 

081130 20:57:33 accepting connections on ip socket 

081130 20:57:33 accepting connections on unix socket /tmp/manager.sock 
081130 20:57:33 guardian: starting instance mysqld 

081130 20:57:33 guardian: starting instance mysqldl 

081130 20:57:33 starting instance mysqld # 正在 开始 启动 mysqld 实例 
081130 20:57:33 starting instance mysqldl # 正在 开始 启动 mysqldl 实例 
081130 20:57:33 InnoDB: Started; log sequence number 0 43655 

081130 20:57:33 [Note] /usr/libexec/mysqld: ready for connections. 
Version: '5.0.22' socket: '/var/lib/mysql/mysql.sock' port: 3307 Source 
distribution 

081130 20:57:33 InnoDB: Started; log sequence number 0 43655 

081130 20:57:33 [Note] /usr/libexec/mysqld: ready for connections. 


Morsions 0.22 socket: '/var/lib/mysqll/mysql.sock' ports 3308 
Source distribution 
# 


实例 管理 器 将 根据 /etc/my.cnf 中 的 [mysqld] 配 置 段 启 动 mysqld 实例 。 一 旦 成 功 后 ， 就 
可 以 用 以 下 命令 查看 mysql 进程 的 情况 。 


# ps -eaflgrep mysql 

root 16296 L025 Dts 00:00:00 /bin/sh /usr/bin/mysqld safe 
--datadir=/var/lib/mysql --socket=/var/lib/mysql/mysql.sock 
--pid-file=/var/run/mysqld/mysqld.pid --basedir=/usr --user=mysql 

mysql 35385 16296 0 12:55. ptaly 00:00:00 /usr/libexec/mysqld 
--basedir=/usr --datadir=/var/lib/mysql --user=mysql 
--log-error=/var/log/mysqld.1o0g --pid-file=/var/run/mysqld/mysqld.pid 
--socket=/var/lib/mysql/mysql.sock 

root bE 00:00:00 grep mysql 


可 以 看 到 ， 有 两 个 mysqld 进程 在 运行 ， 分 别 对 应 了 两 个 MySQL 实例 。 下 面 还 可 以 再 
看 一 下 端口 的 监听 情况 。 


CY 


回回 
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# netstat -anp | grep :330 


tcp 0 00.0.0.0:3307 0.0.0.0:* LISTEN 7919/mysqld 
tcp 0 00.0.0.0:3308 0.0.0.0:* LISTEN 7920/mysqld 
[root@localhost mysqll]# netstat -anp | grep :2999 

tcp 0 00.0.0.0:2999 0.0.0.0:* LISTEN 7912/mysqlmanager 
# 


可 见 ，mysqld 监听 了 TCP3307 和 3308 两 个 端口 ， 而 mysqlmanager 监听 的 是 2999 端 
接 下 来 可 以 使 用 mysql 客户 端 工具 通过 标准 MySQL API 与 mysqlmanager 进行 连接 ， 


然后 通过 命令 对 实例 进行 管理 。 具 体 命令 如 下 : 


# mysql -u admin -p -S /tmp/manager.sock 

Enter password: # 此 处 输入 前 面 创建 的 MysQL 实例 管理 器 admin 用 户 和 密码 
Welcome to the MySQL monitor. Commands end with ; or \g. 

Your MySQL connection id is 1 to server version: 0.2-alpha 

Type 'help;' or '\h' for help. Type '\c' to clear the buffer. 
mysql> 


上 述 命 令 是 在 本 机 执行 的 ， 将 使 用 [manager] 段 中 所 设 定 的 UNIX 套 接口 进行 连接 。 


名 注意 : 连接 实例 管理 器 时 ， 使 用 的 是 它 自己 创建 的 用 户 ， 而 不 是 数据 库 用 户 ， 这 里 使 用 


的 是 前 面 创建 的 admin 用 户 。 
出 现 “mysql>” 提 示 后 ， 就 可 以 使 用 实例 管理 命令 了 ， 如 下 所 示 。 


mysql>show instances; 


+--------------- +-------- + 
| instance name | status | 
+--------------- +-------- + 
| mysqldl | online | 
| mysqld | online | 
+--------------- +-------- 十 


2 rows in set (0.01 sec) 
mysql> 


“show instances” 命 令 表示 列 出 实例 管理 器 所 管理 的 实例 的 当前 状态 。 还 可 以 用 “stop 


instance < 实例 名 >” 和 “start instance < 实例 名 >” 命 令 停 止 或 启动 指定 的 实例 。 更 多 的 命令 
请 参见 MySQL 管理 员 手册 。 


16.3.4 ”编程 语言 与 MySQL 数据 库 的 连接 


MySQL 作为 一 个 数据 库 服 务 器 ， 很 多 时 候 是 提供 给 其 他 编程 语言 访问 的 。 其 中 最 为 


常见 的 是 作为 网 站 的 后 台数 据 库 服务 器 ,通过 网 站 编程 语言 进行 访问 。 下 面 介 绍 PHP 语言 
和 JSP 语言 访问 MySQL 数据 库 的 方法 。 


使 


PHP 是 一 种 用 于 创建 动态 Web 页 面 的 服务 端 脚本 语言 。 像 ASP 一 样 ， 用 户 可 以 混合 


PHP 和 HTML 编写 Web 页 面 。 当 访问 者 浏览 到 该 页 面 时 ， 服 务 端 会 首先 对 页 面 中 的 


PHP 命令 进行 处 理 , 然后 把 处 理 后 的 结果 连同 HTML 内 容 一 起 传送 到 访问 端的 浏览 器 。 下 
面 是 一 段 PHP 5 访问 MySQL 数据 库 的 代码 。 


<HTML> 


“380。 
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<BODY> 
<?php 
$con = mysql_ connect ("localhost", "root", "123qwe"); 


// 与 数据 库 建立 连接 , 要 提供 主机 名 、 用 户 名 、 密 码 


if (!$con) 
|! 
die('Could not connect: ' . mysql error()); 
} 
mysql select db("mysql", $con); // 选 择 数 据 库 


$result = mysql query("SELECT * FROM user"); 
// 让 数据 库 执行 SQL 语句 , 返回 结果 放 在 $result 中 
while ($row = mysql fetch array ($result)) // 从 结果 集中 提取 一 行 
{ 
echo $row['user'] . " " . $row['password']; // 把 这 一 行 指定 的 列 输出 到 网 页 


mysql_close($con); 
?> 

</BODY> 

</HMTL> 


PHP 访问 MySQL 的 语句 非常 简单 ,， 它 使 用 mysql_connect 函数 与 MySQL 数据 库 建立 
连接 ， 再 使 用 mysql_select_db 函数 选择 数据 库 , 最 后 用 mysql_query 函数 让 数据 库 执行 SQL 
得 句 ， 得 到 的 结果 集 再 让 程序 进行 处 理 。 
还 有 一 种 常用 的 MySQL 数据 库 访问 方式 是 Java 或 JSP 使 用 的 JDBC 方式 。 它 需要 一 
个 JDBC 连接 器 的 支持 ， 可 以 从 http://dev.mysql.com/downloads/connector/j/5.1.html 处 下 载 
JDBC 连接 器 ， 目 前 最 新 版 本 是 5.1.22， 文 件 名 是 mysql-connector-java-5.1.22.tar.gz。 


全 说 明 : JDBC 全 称 是 Java DataBase Connectivity standard， 它 是 一 个 面向 对 象 的 应 用 程序 
接口 ( API) , 通过 它 可 访问 各 种 关系 数据 库 。 


JDBC 连接 器 下 载 完 成 后 ， 可 以 从 压缩 包 中 解 出 一 个 文件 名 为 mysql-connector- 
java-5.1.22-bin.jar 的 Java 包 , 在 CLASSPATH 中 设置 使 用 该 Java 包 , 或 把 它 复制 到 Tomcat 
等 系统 的 库 目 录 ， 然 后 就 可 以 在 程序 中 使 用 JDBC 与 MySQL 数据 库 进 行 连接 了 。 下 面 是 

一 段 JSP 程序 示例 。 


<% 
String server="localhost"; 
String dbname="mysql"; 
String user="root"; 
String pass="123qwe"; 
String url ="jdbc:mysql://127.0.0.1/mysql"; 
Class.forName ("com.mysql .jdbc.Driver"); 
// 使 用 JDBC FOR MySQL 的 类 
Connection conn= DriverManager.getConnection(url,user,pass); 
// 建 立 数据 库 连 接 
Statement stmt=conn.createStatement (); 
String sql="select * from user"; 
ResultSet rs=stmt.executeQuery (sql); // 执 行 SQL 语句 
站 
whilel(rs.next()) { 
out.print ("name: "); 
out.print (rs.getString ("user")+"passwd"); 
out.println(rs.getString ("password")+"<br>"); 
上 


se 
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ra close()e 
stmt.close(); 
conn.close();*/ 
%> 


另外 , 还 可 以 通过 ODBC 连接 器 与 MySQL 数据 库 进 行 连接 。 由 于 ODBC 是 Windows 
平台 下 通用 的 数据 库 连 接 标 准 ， 支 持 ODBC 就 意味 着 可 以 使 大 部 分 在 Windows 下 工作 的 
语言 与 MySQL 数据 库 进 行 连接 了 。 


16.4 小 结 


数据 库 服 务 器 是 构建 信息 管理 系统 的 基础 ， 常 用 的 数据 库 类 型 非常 多 ，MySQL 是 一 
种 开放 源 代码 的 数据 库 系统 , 得 到 了 广泛 的 应 用 。 本 章 首先 讲述 了 有 关 数 据 库 的 基本 常识 ， 
然后 介绍 MySQL 数据 库 的 安装 、 运 行 和 使 用 方法 ， 最 后 介绍 了 MySQL 数据 库 服务 器 的 
配置 及 编程 语言 与 它 的 连接 方法 。 
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Email (Electronic Mail， 电 子 邮 件 ) 是 Internet 最 基本 、 也 是 最 重要 的 服务 之 一 。 与 传 
统 的 邮政 信件 服务 相 比 ， 电 子 邮件 具有 快速 、 经 济 的 特点 。 与 实时 信息 交流 〈 如 电话 通话 ) 
相 比 ， 电 子 邮 件 采 用 存储 转发 的 方式 ， 发 送 邮件 时 并 不 需要 收 件 人 处 于 在 线 状 态 。 因 此 ， 
电子 邮件 具有 其 他 通信 方式 不 可 比拟 的 优势 。 本 章 介 绍 以 Postfix 系统 为 中 心 的 邮件 服务 器 
的 安装 、 运 行 、 配 置 和 使 用 方法 。 


17.1 邮件 系统 工作 原理 


与 其 他 各 种 Internet 服务 相 比 ， 电 子 邮件 服务 相对 比较 复杂 。 要 牵涉 到 POP3、SMTP、 
IMAP 等 多 种 协议 ， 而 且 一 个 实际 的 邮件 服务 系统 往往 由 很 多 相互 独立 的 软件 包 组 成 ， 需 
2 它们 之 间 集 成 时 的 接口 问题 。 本 节 先 介绍 邮件 系统 的 工作 原理 ， 包 括 系统 组 成 和 协 

等 内 容 。 


17.1.1 邮件 系统 的 组 成 及 传输 流程 

虽然 邮件 系统 也 是 基于 客户 端 /服务 器 模式 的 , 但 邮件 从 发 件 人 的 客户 端 到 收 件 人 的 客 
户 端的 过 程 中 ,还 需要 邮件 服务 器 之 间 的 相互 传输 。 因 此 ， 与 其 他 单纯 的 客户 端 /服务 器 工 
作 模式 ， 如 FTP、Web 等 相 比 ， 电 子 邮 件 系统 相对 要 复杂 。 如 图 17-1 所 示 的 是 电子 邮件 系 
统 的 组 成 和 传输 流程 示意 图 。 


发 送 方 
Y 
MUA MDA [一 - 信 箱 
SMTP | | 
POP3 
MIA | _ SMIP -| MTA | POPIMA — zs 接收 方 


图 17-1 邮件 传输 流程 示意 图 


在 图 17-1 中 ，MUA 称 为 邮件 用 户 代理 ， 它 是 邮件 用 户 直接 接触 的 软件 ， 提 供 邮件 编 
辑 、 从 信箱 收取 邮件 、 委 托 MTA 发 送 邮 人 等 功能 ， 常见 的 Outlook, Foxmail 都 属于 MUA。 
MTA 也 称 为 邮件 传输 代理 ， 是 邮件 系统 的 核心 部 分 ， 完 成 邮件 在 Internet 上 传输 的 过 程 。 
MDA 也 称 为 邮件 投递 代理 ， 它 的 功能 是 把 本 地 MTA 转送 过 来 的 邮件 投递 到 本 地 用 户 的 
邮箱 。 
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发 送 方 发 邮件 时 ,要 使 用 某 一 MUA 把 邮件 通过 SMTP 协议 传送 给 邮件 传输 代理 MTA 。 
MTA 收 到 MUA 的 发 件 请 求 后 ， 会 先 判 断 是 否 应 该 受理 。 通 常情 况 下 ， 如 果 邮 件 是 来 自 本 
地 系统 的 用 户 ， 或 者 是 同一 子 网 上 的 系统 ， 以 及 具有 转发 许可 的 系统 ，MTA 都 会 受理 发 件 
请 求 。 

MTA 收 下 邮件 后 , 要 根据 收 件 人 的 信息 决定 下 一 步 的 动作 。 如 果 收 件 人 是 自己 系统 上 
的 用 户 ， 则 直接 投递 ， 如 果 收 件 人 是 其 他 网 络 系 统 的 用 户 ， 则 需要 把 邮件 传递 给 对 方 网 络 
系统 的 MIA。 此 时 ， 可 能 要 经 过 多 个 MTA 的 转发 才 真正 到 达 目 的 地 。 如 果 邮 件 无 法 投递 
给 本 地 用 户 ， 也 无 法 转交 给 其 他 MTA 处 理 ， 则 要 把 邮件 退还 给 发 件 人 ， 或 者 发 通知 邮件 
给 管理 员 。 

邮件 最 终 到 达 了 收 件 人 所 在 网 络 的 MTA ,于 是 该 MTA 发 现 收 件 人 是 本 地 系统 的 用 户 ， 
就 交 给 了 MDA 处 理 , MDA 再 把 邮件 投递 到 收 件 人 的 信箱 里 。 信箱 的 形式 可 以 是 普通 的 目 
录 ， 也 可 以 是 专用 的 数据 库 。 不 管 是 哪 种 方式 ， 这 些 邮 件 都 需要 有 一 种 长 期 保存 的 机 制 。 

邮件 被 放 入 信箱 后 ， 就 一 直 保存 在 那里 ， 等 待 收 件 人 来 收取 。 收 件 人 也 是 通过 MUA 
来 读 取 邮 件 的 ， 但 此 时 MUA 要 联系 的 ， 并 不 是 发 邮件 时 所 联系 的 MTA， 而 是 另 一 个 提供 
POP/IMAP 服务 的 软件 ， 而 且 读 取 邮件 时 所 采用 的 协议 也 不 是 SMTP， 而 是 POP3 或 者 
IMAP。 

图 17-1 所 示 的 两 个 MTA 分 别 承 担 了 发 邮件 和 收 邮件 的 功能 。 实 际 上 ， 任 何 MTA 都 
可 以 同时 承担 收 邮件 和 发 邮件 功能 。 即 除了 接受 MUA 的 委托 ， 将 邮件 投递 到 收 件 人 所 在 
的 邮件 系统 外 ， 还 可 以 接收 另 一 个 MTA 发 来 的 邮件 ， 然 后 根据 收 件 人 信息 决定 是 投递 给 
本 地 用 户 还 是 转发 给 其 他 MTA。 


且说 明 : 在 实际 系统 中 ，MTA、MUA、MDA， 以 及 POP/IMAP 服务 器 等 组 件 均 可 以 由 不 
同 的 软件 来 承担 。 另 外 ， 一 个 实际 的 邮件 服务 系统 还 可 能 包括 账号 管理 、 信 箱 管理 、 
安全 传输 、 提 供 Web 界面 访问 等 功能 ， 这 些 功 能 都 还 需要 其 他 软件 的 支持 ， 因 此 ， 
建立 一 个 实际 的 邮件 系统 需要 对 很 多 软件 进行 集成 。 


17.1.2 简单 邮件 传输 协议 SMTP 


SMTP (Simple Mail Transfer Protocol， 简 单 邮 件 传输 协议 ) 是 一 组 用 于 由 源 地 址 到 目 
的 地 址 传送 邮件 的 规则 ， 其 设计 目标 是 能 够 可 靠 高 效 地 传送 邮件 。SMTP 属于 TCP/IP 协议 
徐 ， 是 建立 在 传输 层 之 上 的 应 用 层 协议 ， 以 请 求 /响应 方式 工作 ， 其 默认 的 传输 端口 是 TCP 
协议 的 25 号 端口 。 

SMTP 的 一 个 重要 特点 是 它 能 够 以 接力 的 方式 传送 邮件 ， 即 邮件 可 以 通过 不 同 网 络 上 
的 主机 一 站 一 站 地 传送 。SMTP 可 以 在 两 种 场合 使 用 ， 一 


种 是 好 件 从 客户 机 传输 到 服务 器 ， 另 一 种 是 从 某 一 个 服务 搓 
器 传输 到 另 一 个 服务 器 .SMTP 的 工作 模型 如 图 17-2 所 示 。 

发 送 方 首先 向 接收 方 的 25 号 端口 了 发 起 TCP 连接 请 机 
求 ， 接 收 方 接受 了 请 求 后 ， 就 建立 了 TCP 连接 。 连接 建立 六 
后 ,发 送 方 就 可 以 向 接收 方 发 送 SMTP 命令 了 。 接 收 方 收 


到 命令 后 ， 根 据 具体 情况 决定 是 否 执行 ， 然 后 给 发 送 方 相 图 17-2 SMTP 工作 模型 图 


。384 。 
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应 的 应 答 。SMTP 协议 属于 请 求 /应 答 范 式 , 请 求 和 应 答 都 基于 ASCII 文本 , 并 以 CR 和 LF 
符 结束 。 应 答 包 括 一 个 3 位 数字 的 代码 ， 以 及 供 人 阅读 的 文本 解释 。 常 见 的 SMTP 命令 如 
表 17-1 所 示 ， 其 中 包括 部 分 扩展 的 SMTP 命令 。 


表 17-1 常见 的 SMTP 命令 
TT 


命令 名 称 及 格式 功 能 

HELO < 客户 机 域名 > 鉴别 对 方 是 否 支持 SMTP 协议 ， 应 该 是 发 送 方 的 第 一 条 命令 
EHLO 鉴别 接收 方 是 否 支持 ESMTP 协议 ， 接 收 方 返回 所 支持 的 扩展 命令 
AUTH 表示 要 进行 认证 
MAIL FROM:< 发 件 人 地 址 > | 告诉 接收 方 即将 发 送 一 个 新 邮件 , 并 对 所 有 的 状态 和 缓冲 区 进行 初始 化 
RCPTTO:< 收 件 人 地 址 > 标识 各 个 邮件 接收 者 的 地 址 ， 该 命令 可 以 发 送 多 个 ， 表 示 有 多 个 收 件 人 
DATA 告诉 接收 方 此 后 的 内 容 是 邮件 正文 ， 直到 以 “.” 为 唯一 内 容 的 一 行为 止 
REST 退出 /复位 当前 的 邮件 传输 

空 操作 ， 用 于 使 TCP 连接 保持 ， 并 有 助 于 命令 和 应 答 的 同步 

要 求 停止 传输 并 关闭 TCP 连接 
VRFY < 字符 串 > 验证 给 定 的 邮箱 是 否 存在 ， 出 于 安全 考虑 ，SMTP 服务 器 一 般 都 禁止 该 


命 
EXPN < 字符 查询 是 否 有 邮箱 属于 给 定 的 邮箱 列表 ， 出 于 安全 考虑 ， 经 常 禁 止 使 用 
如 果 被 接受 ， 接 收 方 将 处 于 调试 状态 


返回 帮助 信息 ， 包 括 服 务 器 所 支持 的 命令 


SMTP 接收 方 收 到 命令 后 ， 将 根据 具体 情况 给 发 送 方 返 回应 答 ， 应 答 包 含 应 答 码 和 供 
人 阅读 的 文本 解释 ， 所 有 的 应 答 码 及 解释 如 表 17-2 所 示 。 


表 17-2 SMTP 应 答 及 含义 


应 答 含义 含义 

200 | 表示 成 功 执行 了 命令 ， 不 是 标准 的 响应 ”| 500 | 语法 错误 ， 命 令 不 被 承认 

211 | 系统 状态 ， 或 系统 帮助 回复 | 

214 | 帮助 信息 502 | 命令 没有 被 实现 

220 | < 域名 称 > 服务 已 准备 就 绪 503 | 不 正确 的 命令 次 序 

221 | < 域名 称 > 服务 正在 关闭 传输 通道 504 | 命令 参数 未 实现 

250 | 所 请 求 的 命令 已 成 功 执行 521 |< 域 名 称 > 不 接收 邮件 

el a 将 根据 收 件 人 地 址 进 ee 

354 | 开始 邮件 输入 ， 以 <CDLF>.<CDLF> 结 束 |‖ 550 | 因 邮 箱 无 效 ， 所 请 求 的 MAIL 命令 没有 执行 
421 |< 域 名称 > 服务 无 效 ， 关 闭 传输 通道 551 | 非 本 地 用 户 

450 所 请 求 的 MAIL 命令 没有 552 | 因 超 过 存储 分 配 ， MAIL 命令 被 放弃 


451 | 因 本 地 处 理 错误 ， 放 弃 执行 所 请 求 的 命令 | 553 | 因 信箱 名 称 未 被 允许 ， 请 求 的 命令 没有 执行 
452 | 因 系 统 存储 不 够 ， 所 请 求 的 命令 没有 执行 ‖ 554 | 传输 事务 失败 


每 次 发 送 邮 件 时 ， 用 户 代 理 都 要 与 邮件 所 在 的 SMTP 服务 器 连接 ， 再 通过 SMTP 服务 
器 把 邮件 发 送 给 收 件 人 。 如 图 17-3 所 示 的 是 用 户 通 过 Foxmail 发 送 邮 件 时 ， 用 Ethereal 工 


ss 
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具 抓 取 的 数据 包 情 况 。 发 件 人 地 址 是 test123@wzvtc.cn, 收 件 人 地 址 是 lintf0610@163.com， 
客户 机 IP 地 址 是 192.1680.127.135，wzvtc.cn 域 的 邮件 网 关 ， 即 SMTP 服务 器 的 IP 地 址 是 
192.168.127.100， 这 个 人 P 地 址 在 Foxmail 中 是 要 事先 设 定 的 。 

国 Capturing fom 2 interfaces [Wireshark 1.8.2 (SVN Rev 44520 from /trunk-1... ey ex 


Hle Edt Vew Go Capture Anayze Statstics Telephony Toos Intemas Hep 
ER 


Fikter: -| Expression.. 

Time, Source Destination Protocol Length Info < 
33 23.411903000 192.168.127.100 192.168.127.135 shitp 70c:E 
34 23.411998000 192.168.127.135 “192.168.127.100 “TCPp 54 smtp 
35 23.412134000 192.168.127.135 192.168.127.100 76 5: 习 


36 23.415494000 192.168.127.100 192.168.127.135 SMTP 92 


37 23.424303000 192.168.127.135 192.168.127.100 SMTP 68 Ss: 2 
38 23.424568000 192.168.127.100 192.168.127.135 SMTP 80C: R 
39 23.431133000 192.168.127.135 192.168.127.100 SMTP 68 5: 2 
|40 23.431525000 192.168.127.100 192.168.127.135 SMTP 60cC: 0 
|41 23.431755000 192.168.127.135 192.168.127.100 SMTP M533 
142 23.432360000 192.168.127.100 192.168.127.135 SMTP 413C: D 
|43 23.473471000 192.168.127.135 192.168.127.100 TP 54 smtp 
|44 23.473522000 192.168.127.100 192.168.127.135 IMF 1203 from 
|45 23.473589000 192.168.127.135 192.168.127.100 Tp 54 smtp 
|46 23.476695000 192.168.127.135 192.168.127.100 SMTP 90 5: 2 
|47 23.478306000 192.168.127.100 192.168.127.135 SMTP 60 c: Q 
148 23.478528000 192.168.127.135 192.168.127.100 SMTP 69 S: 2 
aa 73 47RFnsnnn 1q7 1FR 197 13S5 197 1FKR 17 1 To Sacnrn 
用 m + 


川 下 Frame 35: 176 bytes on wire (1408 bits), 176 bytes captured (1408 bi - 

田 Ethernet II, Src: Vmware_de:fi:2b (00:0c:29:de:f1l:2b), Dst: Vmware_c(S 

m Enternet protocol Version 4. Src: 192.168,127.135 (192.168.127.135). ~ 
4 


0000 00 50 56 c0 00 08 00 Oc 29 de fi 2b 08 00 45 00 .PV.. 
0010 00 2 让 e3 了 00 40 06 12 36 c0 a8 7f 87 c0 a8 . 
0020 7f 64 00 19 la ff e4 10 be 17 d6 91 d6 ab 50 18 . 

0030 00 e5 23 79 00 00 32 35 30 2d 77 77 77 2e 62 61 .ovy. .2| 
‘| [i 


图 2 nterfaces: <ive capture n progress> Fle: Packets: 110[ | profile: Defauk (copy) 


图 17-3 用 Wireshark 抓 取 的 SMTP 协议 数据 包 


从 图 17-3 可 以 看 出 ,客户 机 192.1680.127.135 通过 编号 为 1.2、3 的 3 个 数据 包 与 SMTP 
服务 器 192.168.127.100 的 25 号 端口 建立 了 TCP 连接 。 数 据 包 4 是 服务 器 给 客户 机 的 应 答 ， 
然后 客户 机 通过 数据 包 5 发 送 了 一 个 EHLO 命令 ,服务 器 再 通过 数据 包 7 回应 了 250 应 答 
表示 服务 器 支持 扩展 的 SMTP 命令 ， 并 且 现 在 已 经 处 于 就 绪 状态 。 

然后 ， 客 户 机 通过 数据 包 8 发 送 了 AUTH LOGIN 命令 ， 表 示 要 进行 认证 ， 于 是 服务 
器 通过 数据 包 9 响应 了 334 应 答 ， 随 后 的 字符 串 是 经 过 base64 编码 的 username 字符 串 ， 
要 求 输入 用 户 名 。 接 着 客户 机 发 送 了 数据 包 10， 里 面包 含 的 也 是 经 过 base64 编码 的 用 户 
名 test123， 然 后 服务 器 再 通过 数据 包 11 要 求 输入 密码 ， 客 户 端 又 把 经 过 Base64 编码 的 密 
码 通 过 数据 12 发 送 给 服务 器 。 数 据 包 13 的 应 答 表 明 认 证 成 功 ， 客 户 端 可 以 开始 发 送 邮 
件 了 。 

客户 通过 数据 包 14 发 送 了 MAIL 命令 ， 并 提交 了 发 件 人 地 址 ， 再 通过 数据 包 16 发 送 
了 RCPT 命令 ， 并 提交 了 收 件 人 地 址 。 然 后 是 数据 包 18 的 DATA 命令 ， 表 示 要 发 送 邮件 
内 容 。 随 后 的 数据 包 20 和 22 包含 了 邮件 内 容 ， 包 括 头 部 和 邮件 正文 。 数 据 包 22 包含 了 
DATA 命令 的 结束 标志 <CRLF>.<CRLF>。 最 后 通过 数据 包 27 发 送 了 QUIT 命令 ， 表 示 要 
退出 。 随 后 的 数据 包 29、30、31 就 拆除 了 TCP 连接。 


会 说明: 图 17-3 所 示 的 是 用 户 代理 ， 也 就 是 邮件 客户 端 发 送 邮件 给 SMTP 服务 器 的 过 程 ， 
实际 上 邮件 还 要 由 SMTP 服务 器 采用 类 似 的 过 程 转 发 给 收 件 人 所 在 域 的 SMTP 


a: 


-I 
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服务 器 。 但 是 SMTP 服务 器 之 间 传 输 邮件 时 ， 没 有 通过 AUTH LOGIN 进行 认证 


17.1.3 邮局 协议 POP3 


邮件 客户 端 通过 SMTP 服务 器 转发 邮件 时 , 需要 采用 SMTP 协议 把 邮件 传递 给 服务 器 。 
但 邮件 客户 端 从 自己 的 信箱 读 取 邮件 时 ， 采 用 的 却 是 另外 一 种 称 为 POP3 (Post Office 
Protocol) 的 协议 。POP3 (Post Office Protocol 3)， 即 邮局 协议 的 第 3 版 本 ， 它 规定 怎样 将 


个 人 计算 机 连接 到 Internet 的 邮件 服务 器 并 下 载 电 子 邮 件 的 协议 。 


POP3 协议 也 是 建立 在 TCP 协议 上 的 应 用 层 协 议 ， 默 认 使 用 的 是 110 端口 。 它 是 一 种 


Internet 电子 邮件 的 离线 协议 标准 ， 允 许 用 户 从 服务 


器 把 邮件 读 取 到 本 地 主机 ( 即 自 己 的 计算 机 )， 同 时 客 

删除 保存 在 邮件 服务 器 上 的 邮件 ， 而 POP3 服务 器 

则 是 遵循 POP3 协议 的 邮件 服务 器 ， 用 于 把 信箱 中 户 

的 邮件 传送 给 用 户 。POP3 的 工作 模型 如 图 17-4 

所 示 。 端 
客户 端 首先 向 POP3 服务 器 的 110 号 端口 了 发 


起 TCP 连接 请 求 ， 服 务 器 接受 了 请 求 后 ， 就 建立 了 
TCP 连接 。 连 接 建 立 后 ， 客 户 端 就 可 以 向 服务 器 发 


图 17-4 POP3 工作 模型 图 


POP3 请 求 
POP3 应 答 


TCP 连 接 


服 


务 


器 


送 POP3 命令 了 ， 服 务 器 收 到 命令 后 ， 根 据 具体 情况 决定 是 否 执 行 ， 然 后 给 客户 端 回复 相 
应 的 应 答 。POP3 协议 也 是 属于 请 求 /应 答 范式 的 ， 请 求 和 应 答 都 是 基于 ASCII 文本 ， 并 以 
CR 和 LF 符 结束 。 应 答 包 括 确认 或 错误 两 种 情况 , 以 及 供 人 阅读 的 文本 解释 。 常 用 的 POP3 


命令 如 表 17-3 所 示 。 
表 17-3 常用 的 POP3 命令 


命令 名 称 功 能 
USER ”< 用 户 名 > 提交 用 户 名 
PASS ”< 密码 > 提交 密码 
STAT 请 求 服务 器 返回 信箱 统计 资料 ， 如 邮件 数 、 邮 件 总 字 节 数 等 
LIST <n> 列 出 第 mn 封 邮件 的 信息 
RETR <n> 返回 第 n 封 邮 件 的 全 部 内 容 
DELE <n> 删除 第 mn 封 邮 件 ， 只 有 QUIT 命令 执行 后 才 真 正 删除 
RSET 撤销 所 有 的 DELE 命令 
UIDL <n> 返回 第 n 封 邮件 的 标识 
TOP <nm> 返回 第 mn 封 邮件 的 前 m 行内 容 
NOOP 空 操作 ， 用 于 使 TCP 连接 保持 ， 并 有 助 于 命令 和 应 答 的 同步 
QUIT 结束 会 话 ， 退 出 


除了 表 17-3 所 列 的 POP3 命令 外 ，RFC1321 还 增加 了 3 条 扩展 的 POP3 命令 ，apop、 
name 和 digest， 它 们 规定 了 一 种 安全 传输 口令 的 办 法 ， 以 提高 安全 性 能 ， 但 需要 客户 端 和 
服务 器 同时 支持 。 另 外 ，POP3 的 应 答 很 简单 ， 代 码 只 有 两 种 ，+OK 表示 确认 成 功 ，-ERR 


ws 
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表示 错误 ， 随 后 再 跟 一 些 解释 文本 。 如 图 17-5 所 示 是 Foxmail 通过 POP3 协议 从 邮件 服务 
器 读 取 邮件 时 用 Wireshark 抓 取 的 数据 包 。 
国 2interfaces [Wireshark 1.8.2 (SVN Rev 44520 from /trunk-1.8)] 


Ele Edt View Go Capture Anayze Statistics Telephony Ioos Intemas Hep 
车 宙 仙人 鲁 首 | 忆 回 凌 鲍 品 人 A 旬 令 蚊 了 和 四国 |QQ > 


Fikter: -| Expression.. 罗 
Time Source Destination Protocol Length Info ~ 
1 0.000000000 Vmware_c0:00:08 Broadcast ARP 42 who 


2 0.000185000 Vmware_de:f1:2b Vmware_c0:00:08 ARP 42 192. 
3 0. 000194000 192.168.127.100 


5 0.000331000 192.168.127.100 192.168.127.135 TP 54 6870 
6 0.000589000 192.168.127.100 192.168.127.135 SSLV2 184 Clies 
7 0. 000668000 192.168.127.135 192.168.127.100 TCP 54 pop3 


8 0.065914000 192.168.127.135 192.168.127.100 TLSv1 1142 serv 
9 0.112727000 192.168.127.100 192.168.127.135 TLSv1 244 Clie 
110 0.112843000 192.168.127.135 192.168.127.100 Te 54 pop3 


11 0.115627000 192.168.127.135 192.168.127.100 TLSv1 105 Chan 
12 0.315564000 192.168.127.100 192.168.127.135 TP 54 6870 一 | 
13 0. 315747000 192.168.127.135 192.168.127.100 TLsv1 107 App1 
14 0.316012000 192.168.127.100 192.168.127.135 TLsv1 91 App1 
15 0.316320000 192.168.127.135 192.168.127.100 TLSv1 91 App1 
16 0.316476000 192.168.127.100 192.168.127.135 TLsv1 91 App1 
17 0.356270000 192.168.127.135 192.168.127.100 TP 54 pop3 ~ 


可 


盏 Frame 3: 66 bytes on wire (528 bits), 66 bytes captured (528 bits) or ~ 
田 Ethernet II, Src: Vmware_c0:00:08 (00:50:56:c0:00:08), Dst: Vmware_dt™= 
用 Internet protocol Version 4. src: 192.168.127.100 (192.168.127.100). ~ 
«| 和 


0000 00 Oc 29 de fi 2b 00 50 56 cO 00 08 08 00 45 00 ..)..+.P V.... ~» 
I0010 00 34 Oc 41 40 00 80 06 G6e 46 c0 a8 7f 64 c0 a8 .4.A@... NF...[ 
lo020 7f 87 la d6 03 e3 f5 6b 39 c3 00 00 00 00 80 02 | 
0030 20 00 80 eb 00 00 02 04 05 b4 01 03 03 08 01 01 se 
4 Ty » 


图 | Fle: "CUsers\yzbe B\AppData\L ocaTem... | Packets: 24 | Profie: Defauk (copy) 


图 17-5 用 Wireshark 抓 取 的 pop3 协议 数据 包 


从 图 17-5 中 可 以 看 出 ， 客 户 机 IP 地 址 是 10.10.91.252， 通 过 数据 包 1、2、3 与 POP3 
服务 器 10.10.1.6 的 110 号 端口 建立 了 TCP 连接 , 10.10.1.6 也 是 test123@wzvtc.cn 信箱 所 在 
的 服务 器 。 数 据 包 4 是 服务 器 给 客户 机 的 应 答 ， 然 后 客户 机 通过 数据 包 5 和 数据 包 8 分 别 
发 送 了 USER 和 PASS 命令 进行 登录 。 从 图 17-5 中 也 可 以 看 出 ， 这 两 条 命令 所 跟 的 用 户 名 
和 密码 都 是 明文 传输 的 。 

登录 成 功 后 ， 客 户 机 首先 通过 数据 包 10 发 送 STAT 命令 查询 信箱 中 邮件 的 状态 ， 服 务 
器 通过 数据 包 回复 了 +OK 应 答 ， 随 后 所 跟 的 数字 1 表示 总 共有 1 封 邮件 ，1285 表示 所 有 
邮件 的 总 字 节 数 。 接 着 ， 客 户 机 通过 数据 包 12 发 送 UIDL 命令 ， 服 务 器 通过 数据 包 13 和 
15 返回 了 所 有 邮件 的 ID 号 。 然 后 客户 机 再 通过 数据 包 16 发 送 LIST 命令 ， 服 务 器 通过 数 
据 包 17 和 19 返回 了 每 一 封 邮 件 的 编号 和 字 节 数 。 

最 后 ， 客 户 端 通过 数据 包 20 发 送 RETR 命令 ， 随 后 的 数字 1 表示 要 求 返回 第 一 封 邮 
件 的 所 有 内 容 。 服 务 器 通过 数据 包 21 和 23 把 第 一 封 邮件 的 所 有 内 容 返 回 给 客户 端 。 如 果 
服务 器 上 有 多 封 邮 件 ， 客 户 端 将 会 重复 RETR 命令 ， 直 到 把 所 有 的 邮件 都 读 取 过 来 。 所 有 
的 邮件 读 取 完 成 后 ,客户 端 再 通过 数据 包 25 发 送 QUIT 命令 要 求 退出 , 服务 器 通过 数据 包 
26 回应 了 OK 后 ， 再 通过 数据 包 27、28、29 拆除 了 TCP 连接 。 

在 以 上 的 服务 器 应 答 中 ， 因 为 所 有 的 命令 都 能 执行 ， 所 以 应 答 代码 都 是 +OK。 如 果 客 
户 端 发 送 了 错误 的 命令 ， 服 务 器 的 应 答 将 是 -ERR。 


各 注意 : 在 以 上 测试 中 ， 由 于 在 Foxmail 中 设置 了 “在 邮件 服务 器 上 保留 备份 ”， 因 此 ， 
客户 端 把 邮件 读 取 回 来 后 ， 不 会 发 送 DELE 命令 将 其 删除 。 否 则 ， 客 户 端 在 读 取 


Se 
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邮件 后 ， 还 要 发 送 DELE 命令 。 


17.1.4 Internet 消息 访问 协议 IMAP 简介 


和 户 代理 从 邮件 服务 器 的 信箱 中 读 取 邮 件 到 本 地 时 ， 除 了 使 用 POP3 协议 外 ， 还 有 一 
种 选择 是 采用 IMAP 协议 。 IMAP (Internet Message Access Protocol, Internet 消息 访问 协议 ) 
是 由 美国 华盛顿 大 学 所 研发 的 一 种 邮件 获取 协议 ， 在 RFC3501 标准 文档 中 定义 。 

IMAP 是 一 种 应 用 层 协议 ， 运 行 在 TCP/IP 协议 之 上 ， 默 认 使 用 的 端口 是 143 号 端口 。 
IMAP 和 POP3 是 最 常见 的 读 取 邮 件 的 Internet 协议 标准 , 目前 在 用 的 绝 大 部 分 邮件 客户 端 
和 服务 器 都 支持 这 两 种 协议 。 虽 然 这 两 种 协议 都 允许 邮件 客户 端 访问 服务 器 上 存储 的 邮件 
信息 ， 但 它们 之 间 的 区 别 还 是 很 明显 的 ，IMAP 协议 主要 有 以 下 几 个 特点 。 


1. 在 线 和 离线 两 种 操作 模式 


当 使 用 POP3 时 ,客户 端 连接 到 服务 器 并 读 取 所 有 邮件 后 ， 就 要 断 开 连接 。 但 对 IMAP 
来 说 ， 只 要 用 户 邮 件 代 理 是 活动 的 并 且 需 要 随时 读 取 邮件 信息 ， 则 客户 端 可 以 一 直 连 接 在 
服务 器 上 。 对 于 有 很 多 或 者 很 大 邮件 的 用 户 来 说 ， 使 用 IMAP 方式 可 以 更 加 方便 地 获取 邮 
件 ， 加 快 访问 速度 。 

2. 用 户 信箱 的 多 重 连 接 

IMAP 支持 多 个 客户 端 同时 连接 到 同一 个 用 户 信箱 上 。 POP3 协议 要 求 信箱 当前 的 连接 
是 唯一 的 ， 而 IMAP 协议 允许 多 个 客户 端 同时 访问 同一 个 用 户 的 信箱 。 另 外 还 提供 一 种 机 
制 使 任何 一 个 客户 端 可 以 知道 当前 连接 的 其 他 客户 端 所 做 的 操作 。 


3. 在 线 浏览 


IMAP 可 以 只 读 取 邮 件 消息 中 MIME 内 容 的 一 部 分 。 儿 乎 所 有 的 Internet 邮件 都 是 以 
MIME 格式 传输 的 ，MIME 允许 消息 组 织 成 一 种 树 状 结构 ， 这 种 树 状 结构 中 的 叶 节点 都 是 
独立 的 消息 ， 而 非 叶 节点 是 其 附属 的 叶 节点 内 容 的 集合 。IMAP 协议 允许 客户 端 读 取 任何 
独立 的 MIME 消息 以 及 附属 在 同一 非 叶 节点 上 的 那 部 分 MIME 消息 。 这 种 机 制 使 得 用 户 无 
需 下 载 附 件 就 可 以 浏览 邮件 内 容 或 者 在 读 取 内 容 的 同时 进行 浏览 。 


4. 在 服务 器 保留 邮件 的 状态 信息 


IMAP 可 以 在 服务 器 保留 邮件 的 状态 信息 。 通 过 使 用 IMAP 协议 中 定义 的 标志 ， 客 户 
端 可 以 跟踪 邮件 的 状态 。 例 如 ， 邮 件 是 否 已 被 读 取 、 回 复 或 者 删除 。 这 些 标志 存储 在 服务 
器 ， 所 以 多 个 客户 端 在 不 同时 间 访 问 同一 个 信箱 时 ， 可 以 知道 其 他 客户 端 所 做 的 操作 。 


5. 支持 多 信箱 


IMAP 支持 在 服务 器 上 访问 多 个 信箱 。 用 户 信箱 通常 以 文件 夹 的 形式 存在 于 邮件 服务 
器 的 文件 系统 中 , IMAP 客户 端 可 以 创建 、 改 名 或 删除 这 些 信 箱 。 除 了 支持 多 信箱 外 , IMAP 
还 支持 客户 端 对 共享 的 和 公共 的 文件 夹 进行 访问 。 
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6. 服务 端 搜索 


IMAP 支持 服务 端 搜索 。IMAP4 提供 了 一 种 机 制 ， 使 客户 端 可 以 让 服务 器 搜索 多 个 信 
箱 中 符合 条 件 的 邮件 ， 然 后 再 读 取 这 些 邮 件 ， 而 不 是 把 所 有 的 邮件 下 载 到 客户 端 后 再 进行 
搜索 。 这 种 方式 可 以 减少 网 络 中 不 必要 的 数据 流量 。 

7. 良好 的 扩展 机 制 

IMAP 还 提供 了 一 种 良好 的 扩展 机 制 。 吸 取 早 期 Internet 协议 的 经 验 ，IMAP 为 其 扩 
功能 定义 了 一 种 明确 的 机 制 ， 使 得 协议 扩展 起 来 非常 方便 。 目 前 ， 很 多 对 原始 协议 的 扩 
都 已 经 成 为 标准 ， 并 得 到 了 广泛 的 使 用 。 

8. 支持 密 文 传输 

IMAP 协议 本 身 还 直接 定义 了 密 文 传输 机 制 。 由 于 加 密 机 制 需要 客户 端 和 服务 器 相互 
配合 才能 完成 ， 因 此 ，IMAP 还 保留 明文 密码 传输 机 制 ， 以 便 不 同类 型 的 客户 端 和 服务 器 
能 进行 邮件 传输 。 另 外 ， 使 用 SSL 也 可 以 对 IMAP 的 通信 进行 加 密 。 

常见 的 IMAP 命令 如 表 17-4 所 示 。 
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表 17-4 常见 的 IMAP 命令 列表 


命令 名 功 能 

CREATE 创建 一 个 新 邮箱 ， 信 箱 名 称 通常 是 带路 径 的 目录 名 

ee 删除 指定 名 字 的 信箱 ， 信箱 名 通常 是 带路 径 的 目录 全 名 ， 信 箱 删除 后 ， 其 中 的 邮件 
也 不 再 存在 

RENAME 修改 信箱 的 名 称 ， 信 箱 名 通常 是 带路 径 的 目录 全 名 

LIST 列 出 信箱 内 容 

APPEND 使 客户 端 可 以 上 传 一 个 邮件 到 指定 的 信箱 

SELECT 让 客户 端 选 定 某 个 信箱 ， 表 示 以 后 的 操作 默认 时 是 对 该 信箱 进行 的 

FETCH 用 于 读 取 邮 件 的 文本 信息 ， 仅 用 于 显示 目的 

STORE 用 于 修改 邮件 的 属性 ， 包 括 给 邮件 打上 已 读 标 记 、 删 除 标记 等 

表示 客户 端 结束 对 当前 信箱 的 访问 并 关闭 邮箱 ， 该 信箱 中 所 有 标 为 DELETED 的 邮 
件 将 被 彻底 删除 

EXPUNGE 在 不 关闭 信箱 的 前 提 下 删除 所 有 标 为 DELETED 的 邮件 

EXAMINE 以 只 读 方式 打开 信箱 

SUBSCRIBE 在 客户 机 的 活动 邮箱 列表 中 添加 一 个 新 信箱 

UNSUBSCRIBE | 在 客户 机 的 活动 邮箱 列表 中 去 除 一 个 信箱 

LSUB 与 LIST 命令 相似 ， 但 LSUB 命令 只 列 出 那些 由 SUBSCRIBE 命令 设置 的 活动 信箱 

STATUS 查询 信箱 的 当前 状态 

CHECK 用 来 在 信箱 上 设置 一 个 检查 点 

SEARCH 根据 指定 的 条 件 在 处 于 活动 状态 的 信箱 中 搜索 邮件 ， 然 后 加 以 显示 

COPY 把 邮件 从 一 个 信箱 复制 到 另 一 个 信箱 

UID 与 FETCH、COPY、STORE 或 者 SEARCH 命令 一 起 使 用 ， 代 替 信箱 中 邮件 的 顺序 号 
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命令 名 功 能 


CAPABILITY ”| 请 求 返回 IMAP 服务 器 支持 的 命令 列表 


空 操作 ， 防 止 因 长 时 间 处 于 不 活动 状态 而 导致 TCP 连接 被 中 断 ， 服 务 器 对 该 命令 的 


NOOP 应 答 始终 为 肯定 


当前 登录 用 户 退出 登录 并 关闭 所 有 已 打开 的 邮箱 ， 任 何 标 为 DELETED 的 邮件 都 将 
被 删除 


LOGOUT 


有 关 IMAP 命令 具体 的 使 用 方法 请 参见 有 关 资 料 ， 这 里 不 再 详 述 。 
会 说明: IMAP 邮件 工作 方式 适用 于 有 大 量 邮件 需要 处 理 的 用 户 。 


17.2 ”Postfix 邮件 系统 


在 Linux 平台 中 ， 有 许多 邮件 服务 器 可 供 选 择 。 目 前 使 用 较 多 的 是 Sendmail 服务 器 、 
Postfix 服务 器 和 Qmail 服务 器 等 。Postfix 在 快速 、 易 于 管理 和 提供 尽 可 能 高 的 安全 性 等 方 
面 都 进行 了 较 好 的 考虑 ， 同 时 与 历史 悠久 的 Sendmail 邮件 服务 器 保持 了 较 好 的 兼容 性 ， 因 
此 是 架设 Linux 平台 下 的 邮件 服务 器 的 较 好 选择 。 本 节 将 介绍 有 关 Postfix 邮件 服务 器 的 特 
点 、 系 统 结构 、 安 装 和 运行 等 内 容 。 


17.2.1 ”Postfix 概述 


Postfix 是 一 个 由 IBM 资助 、 由 Wietse Venema 负责 开发 的 自由 软件 工程 产物 ， 它 的 目 
的 就 是 为 用 户 提供 除 Sendmail 之 外 的 邮件 服务 器 的 选择 。Postfix 基于 半 驻 留 、 互 操作 进程 
的 体系 结构 ， 每 个 进程 完成 特定 的 任务 ， 没 有 任何 特定 的 进程 衍生 关系 ， 使 整个 系统 进程 
得 到 很 好 的 保护 。 可 靠 性 、 安 全 性 、 高 效率 、 灵 活性 、 容 易 使 用 、 兼容 于 Sendmail, 是 Postfix 
的 设计 目标 。 

软件 的 可 靠 性 需要 在 恶劣 的 运行 环境 下 才能 体现 出 来 , 例如 , 内 存 或 磁盘 空间 耗 尽 时 ， 
受到 攻击 时 ， 此 时 软件 是 否 还 能 正常 运行 或 者 会 不 会 出 错 ， 是 衡量 软件 是 否 可 靠 的 重要 标 
志 。Postfix 软件 设计 时 充分 考虑 到 运行 过 程 中 可 能 出 现 的 种 种 状况 ， 能 够 事先 侦 测 出 不 良 
状况 ， 让 系统 有 机 会 恢复 正常 ， 或 者 采取 各 种 预防 措施 ， 以 稳定 、 可 靠 的 方式 应 变 。 

Postfix 软件 设计 时 ， 设 置 了 多 层 保护 措施 来 抵御 可 能 的 攻击 者 。“ 最 低 权 限 ” 这 个 安 
全 理念 在 整个 Postfix 系统 中 都 得 到 了 很 好 的 贯彻 , 每 一 个 可 以 独立 出 来 的 功能 ， 都 分 别 写 
在 了 不 同 的 模块 里 ， 并 以 最 低 的 权限 在 专门 的 进程 上 下 文 环境 中 独立 运行 。 权 限 较 高 的 进 
程 ， 决 不 会 信任 没有 特权 的 进程 。 管 理 员 可 以 把 非 必要 的 模块 移出 系统 或 停 用 ， 借 此 提高 
安全 性 ， 同 时 还 减少 了 维护 管理 的 工作 量 。 

“效率 ”是 Postfix 设计 时 提倡 的 中 心理 念 之 一 ， 除 了 极力 提高 自身 的 运行 效率 以 外 ， 
Postfix 还 尽 可 能 地 少 占用 系统 资源 ， 以 确保 它 的 运行 不 会 影响 到 其 他 系统 的 运行 效率 。 例 
如 ， 进 程 具 在 需要 的 时 候 创建 ， 不 需要 时 马上 关闭 。 尽 量 减 少 处 理 信息 时 访问 文件 系统 的 

Postfix 采用 非常 灵活 的 模块 结构 ， 整 个 系统 其 实 是 由 多 个 不 同 程序 与 子 系统 构成 的 。 
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每 个 组 件 的 运行 状态 都 可 以 通过 配置 文件 进行 个 别 的 调整 ， 用 户 还 可 以 根据 需要 使 用 其 中 
的 部 分 模块 。 另 外 ， 由 于 一 个 实际 的 邮件 系统 还 需要 很 多 其 他 软件 的 支持 。 因 此 ，Postfix 
还 提供 了 各 种 接口 以 便 能 和 其 他 系统 方便 地 集成 。 

相对 其 他 邮件 系统 ,特别 是 Sendmail 邮件 系统 ，Postfix 的 架设 与 管理 要 容易 得 多 ， 它 
使 用 易 读 的 配置 文件 与 简单 的 查询 表 来 管理 转换 地 址 、 传 递 邮件 等 功能 。 另 外 ， 考 虑 到 用 
户 的 习惯 ，Postfix 最 大 程度 地 保持 了 与 Sendmail 的 兼容 ， 可 以 轻易 蔡 换 掉 系统 上 原 有 的 
Sendmail 邮件 系统 ， 不 会 破坏 原本 依赖 于 Sendmail 的 任何 应 用 程序 。 


17.2.2 ”Postfix 邮件 系统 结构 


Postfix 由 十 几 个 具有 不 同 功能 的 半 驻 留 进程 组 成 ， 某 一 个 特定 的 进程 可 以 为 其 他 进程 
提供 特定 的 服务 。 为 了 安全 起 见 , 这 些 进 程 之 间 并 无 特定 父 进程 和 子 进程 关系 。 另 外 , Postfix 
还 有 4 种 不 同 的 邮件 队列 ， 由 队列 管理 进程 统一 进行 管理 。 


1. 邮件 接收 流程 


当 邮 件 信 息 进 入 Postfix 邮件 系统 时 ， 第 一 站 是 先 到 incoming 队列 。 如 图 17-6 所 示 ， 
显示 了 新 邮件 进入 incoming 队列 的 主要 过 程 ,来 自 网 络 的 邮件 由 smtpd 和 qmqpd 进程 接收 
进入 Postfix 服务 器 。 这 两 个 进程 去 除了 邮件 的 SMTP 或 QMQP 协议 的 封装 ， 并 对 邮件 进 
行 初步 的 安全 检查 , 以 保护 Postfix 系统 ,然后 再 把 发 件 人 、 收 件 人 和 消息 内 容 传 送 给 cleanup 
进程 。 通 过 配置 ， 可 以 使 smtpd 进程 按照 规则 拒绝 不 想 要 的 邮件 。 


进程 
网 络 “上 一 一 “| smtpd 进程 | 
网 络 “上 一 一 “| gmqpd 进 程 


maildrop 队 列 


pickup 进程 


本 地 ” 厂 一 ”Sendmail 命 令 1 postdrop 命令 | 
图 17-6 ”Postfix 接收 邮件 的 流程 


Postfix 提供 了 与 sendmail 兼容 的 命令 ， 用 于 接收 本 地 提交 的 邮件 ， 并 通过 postdrop 命 
令 转 送 到 maildrop 队列 。 即 使 Postfix 邮件 系统 没有 运行 的 时 候 ， 这 部 分 工作 也 照样 进行 。 
本 地 的 pickup 进程 从 maildrop 队列 读 取 邮 件 消息 ， 经 过 初步 的 安全 检查 后 ， 把 发 件 人 、 收 
件 人 和 消息 内 容 传送 给 cleanup 进程 。 

来 自 内 部 的 邮件 消息 直接 就 传送 给 cleanup 进程 ， 内 部 邮件 来 源 包括 由 local 分 发 代理 
转发 的 邮件 、 由 bounce 进程 退回 的 邮件 ， 以 及 分 发 给 邮件 管理 员 有 关 Postfix 系统 问题 的 
通知 。 这 些 邮 件 来 源 未 在 图 17-6 中 表示 出 来 。 

邮件 进入 incoming 队列 前 ，cleanup 进程 要 对 这 些 邮 件 进 行 最 终 的 处 理 ， 包 括 加 上 丢 
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失 的 From 等 信息 头 、 转 换 邮 件 地 址 等 工作 。 可 以 把 cleanup 进程 配置 成 根据 正则 表达 式 只 
对 邮件 做 轻 量 级 的 内 容 检查 。 最 后 ，cleanup 把 处 理 后 的 邮件 作为 单个 文件 放 入 incoming 
队列 ， 并 把 新 邮件 的 到 达 消 息 通知 给 该 队列 的 管理 进程 。 

trivial-rewrite 进程 把 邮件 地 址 改写 成 标准 的 “用 户 名 @ 完 全 域名 ”形式 , 当前 的 Postfix 
并 没有 实现 有 关 改 写 的 语言 。 但 如 果 需 要 ， 可 以 利用 正则 表达 式 和 查询 表 来 实现 。 以 上 是 
有 关 邮 件 接收 的 流程 ， 下 面 再 看 一 下 有 关 邮 件 发 送 的 流程 。 


2. 邮件 发 送 流程 


邮件 的 发 送 流程 如 图 17-7 所 示 。 队 列 管理 进程 qmgr 是 Postfix 邮件 系统 的 核心 ， 它 
与 smntp、lmtp、local、virtual、pipe、discard 和 error 等 邮件 分 发 代理 进程 进行 联系 ， 要 
求 它们 根据 收 件 人 地 址 进行 分 发 。discard 和 error 进程 用 于 丢弃 或 退回 邮件 ， 图 17-7 中 


未 显示 。 


incoming 队列 active 队列 


deferred 队列 


图 17-7 ”Postfix 发 送 邮 件 的 流程 


qmgr 进程 还 要 维持 一 个 相对 较 小 的 active 队列 , 这 个 队列 保存 了 正在 进行 发 送 处 理 的 
邮件 。 还 有 一 个 队列 是 deferred 队列 ， 它 保存 着 暂时 不 能 分 发 的 邮件 ， 以 便 Postfix 能 够 腾 
出 时 间 把 能 发 的 先 发 掉 ， 从 而 提高 整体 速度 。 暂 时 不 能 分 发 的 邮件 以 后 还 要 根据 一 定 的 策 
略 进行 重 发 。 

trivial-rewrite 进程 可 以 依照 所 定义 的 当地 或 远程 地 址 类 分 析 每 一 个 收 件 人 的 地 址 信 
上 息 ， 还 可 以 根据 传输 表 加 上 有 关 的 路 由 信息 ， 还 能 查询 relocated 表 以 确定 收 件 人 地 址 已 发 
生 改 变 的 邮件 ， 这 样 的 邮件 会 退回 给 发 件 人 ， 并 附 上 一 个 解释 。 

smtp 进程 能 根据 目的 主机 寻找 一 个 邮件 接收 服务 器 的 列表 , 并 按照 一 定 的 规则 进行 排 
序 ， 再 逐一 与 这 些 邮 件 服务 器 进行 连接 尝试 ， 直 到 得 到 响应 。 然 后 把 发 件 人 、 收 件 人 和 邮 
件 内 容 通过 SMTP 协议 封装 起 来 ， 包 括 把 8 位 的 MIME 编码 转换 为 7 位 。 

lmtp 进程 的 功能 与 smtp 进程 基本 上 一 样 ， 但 采用 的 是 LMTP 协议 。LMTP 也 称 为 本 
地 邮件 传输 协议 ， 它 是 SMTP 协议 的 优化 版 本 ， 用 于 Cyrus 等 邮件 服务 器 。 它 的 优点 是 一 
台 Postfix 服务 器 可 以 同时 发 送 邮件 给 其 他 邮件 服务 器 。 反 过 来 也 一 样 ， 一 台 Postfix 服务 
器 可 以 同时 接收 其 他 邮件 服务 器 发 送 过 来 的 邮件 。 

local 邮件 分 发 代理 进程 能 够 理解 各 种 各 样 的 邮件 格式 ， 并 对 这 些 邮 件 进行 分 发 。 多 个 
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local 进程 可 以 同时 运行 , 但 给 同一 用 户 的 同时 分 发 数量 是 有 限制 的 。local 进程 能 够 进行 各 
种 形式 的 分 发 ， 通 过 配置 ， 可 以 使 它 把 邮件 分 发 到 用 户 的 信箱 里 ， 也 可 以 分 发 给 procmail 
等 外 部 的 邮件 客户 端 ， 或 者 也 可 以 分 发 给 其 他 的 Postfix 分 发 代理 进程 。 

virtual 分 发 代理 只 能 分 发 到 UNIX 类 的 邮箱 或 qmail 类 的 邮件 目录 。 它 可 以 为 各 个 子 
域 分 发 邮件 ， 因 此 特别 适合 工作 在 一 台 主 机 上 有 许多 小 型 子 域 的 场合 。pipe 邮递 进程 提供 
了 与 其 他 邮件 系统 的 外 部 接口 ， 这 个 接口 是 UNIX 兼容 的 ， 它 通过 管道 给 其 他 命令 提供 邮 
件 内 容 ， 并 得 到 返回 码 。 

3. 其 他 进程 

除了 图 17-6 和 图 17-7 所 示 的 进程 外 ，Postfix 邮件 还 可 能 运行 着 其 他 一 些 进 程 ， 这 些 
进程 有 的 提供 了 对 邮件 的 额外 检查 ， 有 的 提供 了 附加 的 功能 ， 还 有 一 些 提 供 了 Postfix 命令 
的 接口 。 其 中 ， 最 重要 的 一 个 进程 是 master 进程 ， 它 监控 着 整个 邮件 系统 中 其 他 进程 的 工 
作 ， 以 root 用 户 身 份 运行 。master 进程 在 运行 “postfix start” 命 令 时 启动 ， 一 直 运 行 到 整 
个 系统 退出 。 


全 说 明 : 所 有 其 他 的 进程 都 是 master 进程 启动 的 ， 它 们 都 以 postfix 用 户 身份 运行 。 


17.2.3 ”Postfix 服务 器 软件 的 安装 与 运行 


在 RHEL 6 发 行 版 中 提供 了 Postfix 服务 器 软件 的 RPM 包 ， 并 且 默 认 安 装 了 。 如 过 用 
户 想 要 安装 源码 包 ， 需 要 通过 Internet 下 载 。 为 了 能 够 使 用 更 加 灵活 的 安装 方式 ， 建 议 直 
接 从 http://www.postfix.org/download.html 下 载 源 代码 进行 安装 ， 目 前 最 新 的 版 本 是 2.9.0 
版 ， 文 件 名 是 postfix-2.9.4.tar.gz。 下 载 完 成 后 ， 通 过 以 下 命令 进行 解压 : 


# tar -zxvf postfix-2.9.4.tar.gz 


解压 完成 后 ,出现 postfix-2.9.4 目录 , 所 有 的 源 代码 文件 都 在 该 目录 中 。 为 了 使 Postfix 
的 安装 和 运行 能 顺利 进行 ， 先 用 以 下 命令 创建 所 需 的 用 户 与 用 户 组 。 

# useradd -g postfix -g 3001 postfix 

# useradd -g postdrop -g 3002 postdrop 

# groupadd -g postfix -u 3001 -s/sbin/nologin-M postfix 

# groupadd -g postdrop -u 3002 -s/sbin/false -M postdrop 


为 了 使 smtpd 进程 能 顺利 运行 ， 还 要 用 以 下 命令 创建 /etc/aliases.db 文件 。 

# newaliases 

为 了 实现 与 其 他 系统 集成 等 目的 ， 可 以 通过 “make -f Makefile.init makefiles ...... 多 
的 形式 指定 很 多 的 编译 选项 。 但 为 了 简单 起 见 ， 现 在 先 不 指定 任何 选项 ， 所 有 的 选项 均 采 
用 默认 值 进行 编译 ， 命 令 如 下 : 


# make 
# make install 


“make install” 命 令 将 调用 执行 名 为 postfix-install 的 脚本 文件 ,这 个 文件 要 完成 大 部 分 
的 安装 工作 。 在 安装 过 程 中 ， 先 要 指定 很 多 的 目的 安装 目录 ， 有 具体 如 下 所 示 。 


。394 。 


install root: [/] 

tempdir: [/root/postfix-2.9.4] 

config directory: [/etc/postfix] 
command directory: [/usr/sbin] 

daemon directory: [/usr/libexec/postfix] 
data directory: [/var/lib/postfix] 
html directory: [no] 

mail owner: [postfix] 

mailq path: [/usr/bin/mailq] 

manpage directory: [/usr/share/man] 
newaliases path: [/usr/bin/newaliases] 
queue directory: [/var/spool/postfix] 
readme directory: [no] 

sendmail path: [/usr/sbin/sendmaill] 
setgid group: [postdrop] 


每 一 个 目的 安装 目录 均 有 一 个 默认 值 ， 可 以 根据 需要 进行 改变 。 为 了 简单 起 见 ， 所 有 
的 目录 先 使 用 默认 值 。 安 装 完成 后 ， 可 以 输入 以 下 命令 启动 有 关 进 程 。 
# /usr/sbin/postfix stat 
全 注意 : 如 果 sendmail 进程 还 在 系统 中 运行 ， 需 将 先 将 其 中 止 ， 否 则 postfix 将 无 法 运行 。 
上 述 命令 执行 完成 后 ， 可 以 用 以 下 命令 查看 一 下 有 关 的 进程 情况 。 


# ps -eaflgrep Postfix 
root 6597 1 0 Dec0l 六 00:00:00 /usr/libexec/postfix/master 


postfix 6598 6597 0 Dec01 ? 00:00:00 qmgr -1 -t fifo -u 
postfix 10182 6597 0 Fh Ey 全 00:00:00 pickup -1 -t fifo -u 
root 11245 11008 0 yf pts/1 00:00:00 grep postfix 

# 


可 以 看 到 ， 初 始 时 Postfix 启动 了 3 个 进程 。 其 中 ， 主 进程 master 是 以 root 用 户 身 份 
运行 的 ， 其 他 两 个 进程 由 postfix 用 户 身份 执行 。 再 查看 一 下 25 号 端口 是 否 已 处 于 监听 

# netstat | grep :25 

tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 6597/master 

可 见 , master 进程 在 监听 25 号 端口 。 该 端口 是 邮件 服务 器 之 间 传 送 邮 件 时 默认 的 端口 ， 
也 是 客户 端 发 送 邮件 时 与 服务 器 进行 连接 的 默认 端口 。 另 一 个 与 客户 端 连接 的 110 端口 需 
要 通过 其 他 软件 进行 监听 。 为 了 使 Postfix 服务 器 能 够 接受 远程 客户 机 的 连接 ,还 需要 开放 
防火 墙 的 相应 端口 。 


# iptables -I INPUT -p tcp --dport 25 -]j ACCEPT 


以 上 步骤 完成 后 ， 虽 然 客户 端 已 经 可 以 通过 25 号 端口 与 Postfix 服务 器 进行 连接 ， 但 
此 时 Postfix 还 不 具备 基本 的 邮件 功能 ， 需 要 修改 初始 配置 才能 达到 收发 邮件 的 目的 。 


17.3 Postfix 服务 器 的 配置 


Postfix 服务 器 的 配置 相当 复杂 ， 而 且 要 牵涉 很 多 邮件 系统 以 外 的 知识 ， 例 如 操作 系统 
的 用 户 认证 、 用 户 特权 、 数 据 库 文件 、DNS 配置 等 。 本 节 先 从 能 实现 基本 功能 的 最 简单 配 


ss 
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置 着 手 ， 然 后 讲述 邮件 接收 域 、SMTP 认证 等 内 容 。 


17.3.1 Postfix 服务 器 基本 配置 


Postfix 系统 安装 完成 后 ， 所 有 的 配置 文件 均 存 放 在 /etc/postfix 目录 ， 其 中 的 main.cf 
是 主 配 置 文件 。 初 始 的 main.cf 配置 内 容 已 经 可 以 让 Postfix 系统 正常 运行 ， 但 由 于 还 没有 
指定 一 些 必需 的 配置 ， 因此 还 不 能 正常 地 收发 邮件 。 为 了 使 Postfix 具有 初步 的 邮件 收发 功 
能 ， 需 要 了 解 并 配置 以 下 选项 。 

myhostname 和 mydomain 选项 决定 了 Postfix 本 身 的 主机 名 和 域名 ,它们 是 配置 文件 中 
最 基础 的 配置 ,很 多 其 他 的 配置 选项 需要 用 到 这 两 项 配置 。 它 们 以 FQDN 表示 ， 通 常情 况 
下 ， 主 机 名 是 在 域名 的 基础 上 再 增加 一 项 。 例 如 ， 当 域名 是 abc.cn 时 ， 主 机 名 可 以 是 
mail.abc.cn。 

myorigin 选项 向 收 件 人 标示 本 地 提交 的 邮件 的 来 源 ， 默 认 是 $myhostname 〈 即 
myhostname 选项 的 值 )。 这 对 于 一 个 小 系统 是 合适 的 ， 如 果 这 台 邮 件 服务 器 掌管 着 由 多 台 
机 器 组 成 的 域 时 ， 应 该 改 成 mydomain 的 值 ， 或 者 建立 一 个 在 整个 域 范围 内 使 用 的 别名 数 
据 库 。 

mydestination 选项 指定 发 往 哪些 域 的 邮件 将 会 分 发 给 本 地 用 户 ， 即 确定 哪些 域 为 本 地 
域 。 发 往 这 些 域 的 邮件 将 被 传送 给 local_transport 选项 指定 的 分 发 代理 ， 再 由 这 个 分 发 代 
理 根据 /etc/passwd 或 /etc/aliases 等 文件 寻找 收 件 人 。 默 认 情 况 下 ， 该 选项 的 值 是 
$myhostname， 以 及 localhost.$mydomain。 

默认 情况 下 ，Postfix 将 转发 从 授权 网 络 范围 内 的 客户 机 到 任何 目的 地 的 邮件 。 授 权 网 
络 范围 可 以 由 mynetworks_style 选项 指定 ， 默 认 时 其 值 是 subnet， 表 示 与 Postfix 服务 器 在 
同一 个 子 网 内 的 计算 机 。 但 可 以 指定 其 他 值 ， 也 可 以 由 mynetworks 选项 指定 具体 的 主机 、 
子 网 等 。 

对 于 授权 范围 以 外 的 客户 机 来 说 , 默认 情况 下 Postfix 仅仅 转发 它们 发 送 给 授权 的 目的 
邮件 服务 器 的 邮件 。 目 的 邮件 服务 器 由 relay_domains 配置 选项 指定 ， 其 默认 值 是 
mydestination 选项 列 出 的 邮件 服务 器 。 

上 面 介 绍 了 main.cf 配置 文件 中 最 基本 的 选项 , 配置 了 这 些 选 项 后 ， 再 运行 postfix 时 ， 
就 有 了 初步 的 邮件 收发 功能 。 下 面 看 一 个 这 些 选 项 的 配置 例子 。 

Inet interfaces=10.10.1.29,127.0.0.1 # 设 置 postfix 服务 监听 的 IP 地 址 , 缺 省 为 al1 


myhostname = mail.wzvtc.edu 
mydomain = wzvtc.edu 


# 本 地 发 送 邮 件 时 ,发 件 人 的 主机 设 为 mail .wzvtc.edu 


myorigin = $myhostname 


# 发 往 mail.wzvtc.edu、localhost.wzvtc.edu 和 1localhost 的 邮件 被 认为 是 发 给 本 地 域 


mydestination = $myhostname, localhost.$mydomain, localhost 
mynetworks_style = subnet # 授权 网 络 范围 是 Postfix 服务 器 主机 所 在 的 子 网 


# 授权 网 络 范围 外 的 客户 机 利用 Postfix 转发 邮件 时 , 其 目的 主机 只 能 是 mydestination 指定 
的 域 以 及 163 . com 域 

relay domains = $mydestination 

relay_domains=163.com 


"Sa 
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以 上 的 配置 内 容 表 示 Postfix 服务 器 本 身 的 域名 是 wzvtc.edu, 主机 名 是 mail.wzvtc.edu。 
在 实际 应 用 中 ， 域 名 wzvtc.edu 需要 经 过 注册 ， 使 mail.wzvtc.edu 与 Postfix 服务 所 在 的 主 
机 了 下 地 址 建立 对 应 关系 ， 才 能 正常 地 在 Intemet 上 收发 邮件 。 为 了 学 习 目的 ， 可 以 通过 本 
地 DNS 对 mail.wzvtc.edu 进行 域名 解析 ， 或 者 直接 在 /etc/hosts 文件 中 加 入 以 下 一 行 : 


05105L.29 mail.wzvtc.edu 


10.10.1.29 是 此 处 Postfix 服务 器 所 在 的 主机 亿 ， 以 后 在 其 他 客户 机 中 如 果 也 需要 对 
mail.wzvtc.edu 进行 解析 时 ， 也 应 该 在 那 台 计算 机 的 hosts 文件 中 加 入 以 上 一 行 。main.cf 文 
件 中 其 余 的 配置 内 容 保持 不 变 , 与 初始 内 容 一 致 。 然 后 再 通过 以 下 命令 重启 Postfix 服务 器 。 


# Postfix stop 
# postfix start 


为 了 测试 配置 效果 ， 先 从 授权 网 络 以 外 的 客户 机 通过 25 号 端口 与 Postfix 服务 器 建立 
连接 ， 再 通过 SMTP 命令 发 送 邮件 。 所 发 的 邮件 有 两 种 ， 一 种 是 发 给 其 他 域 的 用 户 ， 还 有 
一 种 是 发 给 本 域 用 户 。 下 面 看 一 下 命令 的 执行 过 程 (数字 开 头 的 行 是 服务 器 的 回应 )。 


C:>telnet 10.10.1.29 25 // 与 Postfix 服务 器 的 25 号 端口 进行 连接 
220 mail.wzvtc.edu ESMTP Postfix 
EHLO 192.168.1.146 // 告诉 服务 器 本 机 的 IP 地 址 


250-mail.wzvtc.edu 
250-PIPELINING 

250-SIZE 10240000 
250-VRFY 

250-ETRN 
250-ENHANCEDSTATUSCODES 
250-8BITMIME 


250 DSN 

MAIL FROM:<test@abc.com> /7 设置 邮件 的 发 送 者 地 址 

250 :206100 Ok 

RCPT TO:<ltf@wzvtc.cn> /7 设置 邮件 的 接收 者 地 址 为 wzvtc .cn 


554 5.7.1 <ltf@wzvtc.cn>: Relay access denied 

// 由 于 wzvtc.cn 没 在 Srelay_domains 内 定义 ,因此 被 拒绝 
RCPT TO:<lintf0610@163.com> 

/7 设置 邮件 的 接收 者 地 址 , 163 .com 已 经 由 $relay domains 定义 


DE Dee tei // 因 此 Postfix 服 务 器 可 以 中 继 转发 接受 这 个 邮件 
DATA // 要 求 输入 邮件 正文 

354 End data with <CR><LF>.<CR><LF> 

testing // 邮 件 正 文 内 容 


4 // 邮 件 正文 内 容 输入 结束 
250 2.0.0 Ok: queued as DAF3E855EDC 
//Postfix 接受 这 个 邮件 到 incoming 队列 ,编号 为 DAF3E855EDC 


RCPT TO:<abc@mail.wzvtc.edu> // 再 发 一 封 邮件 给 mail .wzvtc .edu, 这 个 是 本 地 域 
S50 2 Eo Ok 
DATA 
354 End data with <CR><LF>.<CR><LF> 
test // 邮 件 正 文 内 容 
// 邮 件 正 文 内 容 输 入 结束 


250 2.0.0 Ok: queued as B8BCD855EDC 
//Postfix 接受 这 个 邮件 到 incoming 队列 ,编号 为 B8BCD855EDC 

quit // 退 出 与 Postfix 服务 器 的 连接 
221 2.0.0 Bye 
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以 上 测试 完成 后 , 可 以 检查 一 下 lintf0610@163.com 和 abc@mail.wzvtc.edu 两 个 收 件 人 
是 否 已 收 到 邮件 。 事实 上 ，lintf0610@163.com 邮箱 是 收 不 到 以 上 命令 所 发 的 邮件 的 ， 因 为 
此 处 的 wzvtc.edu 并 不 是 真实 的 Intenet 上 的 域名 ，163.com 域 的 邮件 服务 器 将 拒绝 接收 不 
真实 域名 的 邮件 服务 器 所 转发 的 邮件 。 因 此 ， 这 个 邮件 将 留 在 队列 中 ， 不 断 地 进行 转发 重 
试 。 这 可 以 在 Postfix 服务 器 上 通过 mailq 命令 看 到 : 

# mailq 

-Queue ID- --Size-- ----, Arrival Time---- -Sender/Recipient------- 


DAF3E855EDC* 376 Wed Dec 3 05:28:44 test@abc.com 
lintf0610@163.com 


-- 0 Kbytes in 1 Request. 


mailq 命令 用 于 显示 队列 中 尚未 发 出 的 邮件 列表 。 由 以 上 显示 可 以 看 出 ， 发 给 
lintf0610@163.com 的 邮件 还 留 在 队列 中 , 而 发 给 abc@mail.wzvtc.edu 的 邮件 在 队列 中 没有 
看 到 ， 所 以 已 经 成 功 地 发 送出 去 。 下 面 再 以 abc 用户 登 录 到 Postfix 服务 器 ， 查 看 一 下 刚才 
收 到 的 邮件 。 

[root@localhost mnt]# telnet 10.10.1.29 

ve pr 2 

Connected to 10.10.1.29. 


Escape character is '^]'. 
+OK Dovecot ready. 


user abc // 以 abc 用 户 登 录 

+OK 

pass 123456 // 登 录 密 码 为 "123456" 

+OK Logged in. 

list // 查 看 邮件 列表 

+OK 1 messages: 

1 483 

retr 1 // 收 取 并 查看 第 一 封 邮件 的 内 容 


+OK 483 octets 
Return-Path: <test@abc.com> 
X-Original-To: abc@wzvtc.edu 
Delivered-To: abc@wzvtc.edu 
Received: from 10.10.1.253 (localhost [10.10.1.29]) 
by wzvtc.edu (Postfix) with SMTP id 094594C01F1 
for <abc@benet.com>; Wed, 13 Mar 2013 13:08:31 +0800 (CST) 
Subject: A Test Mail 
Message-Id: <20130313050843.094594C01lFl@abc@wzvtc.edu> 
Date: Wed, 13 Mar 2013 13:08:31 +0800 (CST) 
From: test@abc.com 
To: undisclosed-recipients:; 


HELLO! 
This is a test mail! 


quit // 断 开 连 接 并 退出 
+OK Logging out. 
Connection closed by foreign host. 


mail 是 UNIX 系统 中 的 邮件 客户 端 命 令 ， 其 功能 相当 于 Windows 系统 中 的 Outlook、 
Foxmail 等 邮件 客户 端 。 从 以 上 内 容 可 以 看 到 , abc 用 户 确实 收 到 了 刚才 测试 时 发 送 的 邮件 。 
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全 注意 : 如 果 刚 才 用 SMTP 命令 发 送 邮件 时 ， 发 件 人 不 是 test@abc.com， 而 仅仅 是 test， 
则 当 Postfix 系统 处 理 时 ， 会 自动 加 上 myorigin 配置 指令 所 设 的 值 ， 即 变 成 
test@mail.wzvtc.edu. 


当 进 行 以 上 测试 时 , 客户 机 与 Postfix 服务 器 不 在 同一 个 子 网 , 即 不 在 授权 网 络 范围 内 ， 
所 以 发 送 邮 件 给 relay_domains 指令 没有 指定 的 wzvtc.cn 域 时 ，Postfix 服务 器 会 拒绝 转发 。 
下 面 可 以 在 授权 网 络 范围 内 的 客户 机 上 进行 同样 的 测试 ， 即 在 客户 机 10.10.1.253 上 通过 
SMTP 连接 到 Postfix 服务 器 ， 再 分 别 发 送 3 个 邮件 给 1f@wzvtc.cn、lintf0610@163.com 和 
abc@mail.wzvtc.edu。 可 以 看 到 ，Postfix 服务 器 均 能 接受 邮件 的 转发 请 求 ， 但 除 本 地 域外 ， 
其 他 域 的 邮件 能 不 能 发 送 成 功 还 要 取决 于 对 方 邮件 服务 器 的 配置 。 具 体 的 测试 过 程 这 里 不 
再 介绍 ， 读 者 可 以 自行 测试 。 
另外 ， 上 述 测 试 过 程 中 采用 的 是 直接 连接 到 10.10.1.29， 再 通过 SMTP 发 送 邮件 的 ， 
此 时 ， 发 给 本 地 用 户 的 邮件 都 可 以 成 功 发 送 。 但 如 果 使 用 Outlook、Foxmail 等 邮件 客户 端 
进行 发 送 测试 ， 则 发 给 本 地 用 户 abc@mail.wzvtc.edu 的 邮件 是 不 能 成 功 发 送 的 。 这 不 是 
Postfix 的 配置 原因 ， 而 是 因为 mail.wzvtc.edu 不 是 真正 的 注册 域名 ， 它 跟 Postfix 服务 器 所 
在 的 主机 IP 地 址 10.10.1.29 没有 对 应 关系 。 因 此 ，Outlook、Foxmail 等 所 联系 的 SMTP 服 
务 器 〈 即 发 件 人 账号 所 在 的 服务 器 ) 无 法 通过 收 件 人 地 址 联系 到 10.10.1.29 主机 ， 因 此 无 
法 发 送 。 

在 RHEL 6 中 ， 发 给 系统 用 户 的 邮件 默认 是 存放 在 /var/spoolmail 目录 中 的 ， 每 个 系统 
用 户 在 该 目录 下 都 会 有 一 个 对 应 的 信箱 文件 ， 里 面 存 放 了 该 用 户 收 到 的 邮件 。 当 系统 用 户 
登录 后 ， 可 以 通过 mail 命令 对 自己 信箱 进行 管理 。 


17.3.2 ”Postfix 邮件 接收 域 


一 般 情 况 下 , Postfix 服务 器 只 是 一 小 部 分 邮件 的 最 终 目 的 地 .这些 邮件 包括 发 往 Postfix 
服务 器 所 在 主机 的 主机 名 和 IP 址 的 邮件 , 有 时 也 包括 发 往 主机 名 父 域 的 邮件 , 这些 域 也 称 
为 规范 域 ， 在 本 地 域 地 址 类 中 进行 定义 。 除 了 规范 域外 ，Postfix 也 可 以 配置 成 是 许多 其 他 
类 型 域 的 最 终 目的 地 , 这 些 域 和 Postfix 服务 器 的 主机 名 没有 直接 联系 , 通常 也 称 为 托管 域 。 
托管 域 在 虚拟 别名 域 和 虚拟 邮箱 域 中 定义 。 

此 外 ，Postfix 还 可 以 配置 成 其 他 域 的 后 备 邮 件 网 关 主机 。 在 通常 情况 下 ，Postfix 并 不 
是 那些 域 的 最 终 目 的 地 ， 只 有 在 那些 域 的 主 邮 件 服务 器 发 生 故 障 时 临时 接收 发 往 那 些 域 的 
邮件 。 当 主 邮 件 服务 器 恢复 正常 后 ， 再 把 这 些 邮件 转发 给 主 邮 件 服务 器 。 这 些 域 在 中 继 域 
地 址 类 中 定义 。 最 后 ，Postfix 也 可 以 配置 成 一 种 邮件 中 转 网 关 ， 只 为 一 些 授权 的 用 户 提供 
邮件 转发 服务 ， 这 些 用 户 在 默认 域 地 址 类 中 定义 。 

Postfix 有 多 种 形式 的 邮件 账号 ， 最 简单 的 一 种 是 把 主机 真正 的 域名 加 到 配置 文件 的 
mydestination 配置 选项 中 ， 再 在 操作 系统 中 创建 用 户 账号 。 于 是 ，user@domain 就 成 了 用 
户 的 邮箱 地 址 ， 这 种 形式 也 称 为 共享 域 。 例 如 ， 在 main.cf 中 加 入 以 下 一 行 : 


mydestination = $myhostname localhost.$mydomain example.com 


此 时 ，Postfix 除了 接收 两 个 本 地 域外 ， 还 要 接收 托管 域 example.com 的 邮件 。 这 种 共 
享 域 的 形式 有 两 个 缺点 ， 一 是 本 地 域 和 托管 域 无 法 区 分 ， 即 本 地 域 和 托管 域 如 果 存 在 同名 
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账号 ， 则 会 同时 收 到 发 给 该 账号 的 邮件 。 例 如 ， 发 往 info@myhostname 的 邮件 同时 也 会 发 
往 info@example.com。 还 有 一 个 缺点 就 是 操作 系统 要 管理 大 量 的 账号 。 

为 了 解决 共享 域 的 第 一 个 缺点 ， 可 以 使 用 虚拟 别名 域 。 也 就 是 把 某 些 账号 映射 到 操作 
系统 账号 ， 再 把 这 些 账 号 归 到 虚拟 别名 域 中 。 下 面 是 一 个 虚拟 别名 域 的 例子 。 


1 /etc/postfix/main.cf: 

2 virtual alias domains = example.com ...other hosted domains... 
:| virtual alias maps = hash:/etc/postfix/virtual 

4 

5 /etc/postfix/virtual: 

6 postmaster@example.com postmaster 

导 info@example.com joe 

8 salesQ@example.com jane 

9 # Uncomment entry below to implement a catch-all address 
10 # @example.com jim 

ED ...Virtual aliases for more domains... 


第 2 行 的 设置 表示 example.com 是 一 个 虚拟 别名 域 。 需 要 注意 的 是 ， 此 时 不 能 把 
example.com 列 在 mydestination 选项 中 。 第 3 到 第 8 行 指明 了 包含 虚拟 别名 的 文件 位 置 ， 
此 时 发 给 postmaster@example.com 的 邮件 将 会 发 给 本 地 用 户 postmaster， 而 发 给 
sales@example.com 的 邮件 将 会 发 给 本 地 用 户 jane。 如 果 发 给 文件 中 没有 列 出 的 邮件 账号 ， 
则 会 被 拒绝 。 但 是 , 如 果 把 第 9 和 第 10 行 的 注释 去 掉 ， 则 这 些 邮 件 都 会 送 给 本 地 账号 jim， 
这 会 给 垃圾 邮件 的 接收 创建 条 件 。 

虚拟 别名 域 解决 了 共享 域 的 第 一 个 缺点 ， 但 是 每 一 个 邮箱 也 都 还 需要 一 个 UNIX 系统 
账号 。 为 了 解决 这 个 问题 ， 可 以 采用 虚拟 邮箱 域 。 此 时 ， 虚 拟 邮 箱 不 需要 从 一 个 收 件 人 地 
址 到 另 一 个 地 址 的 转换 ， 邮 箱 的 拥有 者 也 不 需要 是 系统 用 户 。 下 面 是 一 个 虚拟 邮箱 的 配置 
例子 。 


/etc/postfix/main.cf: 
virtual mailbox domains = example.com ...more domains... 
virtual mailbox base = /var/mail/vhosts 
virtual mailbox maps = hash:/etc/postfix/vmailbox 
virtual minimum uid = 100 
virtual uid maps = static:5000 
virtual gid maps = static:5000 
virtual alias maps = hash:/etc/postfix/virtual 


2 
3 
4 
5 
6 
7 
8 
9 
10 /etc/postfix/vmailbox: 

二 info@example.com example.com/info 

12 sales@example.com example.com/sales/ 

3 # Comment out the entry below to implement a catch-all. 
14 # Qexample.com example.com/catchall 

15 . .Virtual mailboxes for more domains... 

16 

和 

18 


/etc/postfix/virtual: 
postmaster@example.com postmaster 
第 2 行 指定 了 域 example.com 是 虚拟 邮箱 域 ， 此 时 ，example.com 将 不 能 列 在 main.cf 
的 mydestination 和 virtual alias_ domains 配置 选项 中 。 第 3 行为 所 有 邮箱 指定 了 一 个 路 径 
前 级 ， 这 样 做 可 以 防止 因 配 置 失误 而 造成 邮件 在 整个 文件 系统 中 分 发 。 
第 4 行 和 第 10~15 行 指明 了 邮箱 路 径 的 查询 表 ， 它 以 虚拟 邮件 账号 地 址 为 索引 。 
在 以 上 配置 中 ， 发 往 info@example.com 的 邮件 将 会 保存 在 /var/mail/vhosts/example.com/ 
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info 邮箱 文件 中 ， 而 发 往 sales@example.com 的 邮件 会 保存 在 /var/mail/vhosts/example.com/ 
sales/ 中 。 

第 5 行 确定 了 邮箱 文件 拥有 者 最 小 的 UID 是 100, 这 是 一 种 安全 机 制 ， 因 为 UID 比较 
小 的 用 户 可 能 会 有 比较 大 的 权限 ， 因 此 ， 确 定 最 小 的 UID 可 以 减 小 因为 失误 而 对 系统 造成 
损害 的 可 能 。 第 6 行 和 第 7 行 指定 邮箱 文件 拥有 者 的 UID， 这 里 指定 的 是 固定 值 S000， 表 
示 所 有 账号 的 邮箱 文件 被 同一 个 操作 系统 用 户 拥 有 。 如 果 希 望 不 同 的 邮箱 文件 由 不 同 的 用 
户 拥有 ， 需 要 建立 一 个 以 收 件 人 地 址 为 索引 的 查询 表 。 


全 注意 : 总 的 来 说 ，Postfix 进程 以 及 用 户 对 邮箱 文件 要 有 相应 的 权限 才能 正常 工作 。 


如 果 去 掉 第 14 行 的 注释 , 表示 所 有 发 到 example.com 域 的 邮件 如 果 没 有 用 户 接收 ,都 
将 发 到 catchall 邮箱 里 。 第 8、17、18 行 表示 在 虚拟 邮箱 域 基础 上 建立 的 虚拟 别名 域 ， 这 
里 的 配置 表示 把 发 给 example.com 域 postmaster 用 户 的 邮件 重 定向 给 本 地 的 postmaster 用 
户 ， 也 可 以 用 同样 的 方法 重 定向 到 远程 地 址 。 

另外 ，Postfix 还 支持 第 三 方 软件 对 其 收 到 的 邮件 进行 分 发 ， 例 如 CYRUS、Courier 
maildrop 等 ， 此 时 需要 对 main.cf 配置 文件 中 的 virtual_transport 选项 进行 配置 ， 以 便 能 和 
这 些 第 三 方 软件 进行 集成 ， 并 指定 分 发 方式 。 配 置 的 例子 如 下 : 

virtual transport = lmtp:unix:/path/name # 使 用 UNIX 的 套 接口 传输 给 第 三 方 软件 

virtual transport = lmtp:hostname:port # 使 用 TcP 套 接 口传 输 给 远程 的 第 三 方 软件 

virtual transport = maildrop: # 采用 管道 命令 传输 给 第 三 方 软件 

LMTP 是 一 种 与 SMTP 相似 的 邮件 收发 协议 ， 它 主要 用 于 邮件 在 本 地 的 分 发 。Postfix 
可 以 通过 LMTP 把 邮件 分 发 给 同样 也 支持 LMTP 的 第 三 方 软件 。 


17.3.3 ”配置 SMTP 认证 


- 台 功 能 完整 的 邮件 服务 器 应 该 允许 用 户 发 送 邮 件 到 任何 地 址 ，17.3.1 节 所 配置 的 
Postfix 服务 没有 采用 认证 机 制 ， 任 何 客户 机 都 可 以 通过 SMTP 与 Postfix 服务 器 进行 连接 ， 
然后 通过 RCPT 命令 要 求 Postfix 服务 器 转发 邮件 到 收 件 人 的 邮件 服务 器 。 这 就 意味 着 
Internet 上 的 任何 计算 机 ， 不 需要 账号 就 可 以 通过 邮件 服务 器 向 任何 信箱 发 送 邮件 。 


外 注意 : 这 种 工作 方式 给 垃圾 邮件 的 发 送 带 来 了 很 大 的 方便 ， 不 仅 会 浪费 用 户 的 时 间 ， 而 
上 且 会 大 量 占用 网 络 带宽 ， 造 成 网 络 资源 的 大 量 浪费 。 


为 了 解决 这 个 问题 ， 需 要 在 SMTP 服务 器 中 使 用 身份 认证 机 制 。 也 就 是 说 ， 只 有 通过 
了 身份 认证 的 用 户 才能 请 求 SMTP 服务 器 转发 邮件 到 目的 地 。 认 证 的 账号 一 般 与 接收 邮件 
的 账号 相同 ， 按 照 配 置 ， 可 以 是 操作 系统 用 户 ， 也 可 以 是 虚拟 用 户 ， 或 者 是 保存 在 数据 库 
中 的 用 户 账号 。 
目前 ， 比 较 常 用 的 SMTP 认证 机 制 是 通过 Cyrus SASL 包 来 实现 的 。SASL 是 Simple 
Authentication and Security Layer 的 缩写 ， 它 的 主要 功能 是 为 应 用 程序 提供 认证 函数 库 。 
Postfix 服务 器 可 以 调用 这 些 函 数 库 与 邮件 服务 器 主机 进行 沟通 ， 从 而 提供 认证 功能 。 在 
RHEL 6 中 ， 可 以 通过 以 下 命令 查看 系统 是 否 已 经 安装 了 Cyrus SASL。 


# rpm -qa | grep cyrus-sasl 
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如 果 还 没有 看 到 cyrus-sasl-2.1.23-13.e16.i686 包 ， 可 以 从 RHEL6 发 行 版 的 光盘 上 把 相 
应 文件 复制 到 当前 目录 后 ， 用 以 下 命令 进行 安装 : 


# rpm -ivh cyrus-sasl-2.1.23-13.e16.i686.rpm 


安装 完成 后 ， 主 要 产生 的 文件 是 /usr/sbin 目录 中 的 saslauthd， 它 提供 了 安全 认证 功能 。 
为 了 使 用 /etc/passwd 文件 认证 系统 用 户 ， 需 要 修改 /etc/sysconfig/saslauthd 文件 ， 把 其 中 的 
MECH=pam 改 为 MECH=shadow， 然 后 通过 /etc/init.d 目录 下 的 saslauthd 脚本 文件 启动 
saslauthd 进程 。 也 可 以 用 以 下 命令 直接 启动 : 


# /usr/sbin/saslauthd -m /var/run/saslauthd -a shadow 
# ps -eaflgrep sasl 


root 12311 1 0 01:41 人 00:00:00 /usr/sbin/saslauthd -—m 
/var/run/saslauthd -a shadow 

root 12312°123E1 0 0L:41 2 00:00:00 /usr/sbin/saslauthd -m 
/var/run/saslauthd -a shadow 

root 12313 1231 0 OA 00:00:00 /usr/sbin/saslauthd -m 
/var/run/saslauthd -a shadow 

root 12314 12311 0 01:41 ? 00:00:00 /usr/sbin/saslauthd -m 
/var/run/saslauthd -a shadow 

root 12315 12311 0 01:41 ? 00:00:00 /usr/sbin/saslauthd -m 
/var/run/saslauthd -a shadow 

root 12324 6840 0 01:41 pts/1 00:00:00 grep sasl 

# 


可 以 看 到 ， 在 默认 情况 下 ， 启 动 了 5 个 saslauthd 进程 ， 命 令 中 的 -m 选项 指定 了 进程 
ID 文件 ，-a 选项 指定 了 shadow 为 认证 方式 。 为 了 检验 SASL 安全 认证 是 否 已 经 正常 工作 ， 
可 以 输入 以 下 命令 进行 测试 : 

# /usr/sbin/testsaslauthd -u root -p 123456 

0: OK "Success." 

# 

文件 /usr/sbin/testsaslauthd 也 是 cyrus-sasl 包 中 的 文件 ， 用 于 检验 某 一 账号 是 否 可 以 通 
过 SASL 安全 认证 。 其 中 ，-u 选项 指定 了 用 户 名 ，-p 选项 指定 了 密码 。 从 以 上 例子 的 结 
提示 可 以 看 出 ，root/123456 账号 已 经 成 功 通过 了 认证 。 以 上 工作 完成 后 ， 可 以 通过 修改 配 
置 文件 main.cf 的 以 下 配置 使 Postfix 启用 SMTP 认证 功能 。 


smtpd_sasl auth enable = yes 

smtpd recipient restrictions = permit mynetworks,permit sasl authenticated, 
reject unauth destination broken sasl auth clients=yes 

smtpd sasl security options = noanonymous 


以 上 配置 中 ,smtpd_sasl_auth_enable 选项 指定 是 否 要 启用 SASL 作为 SMTP 认证 方式 。 
默认 不 启用 , 所 以 要 将 该 选项 值 设置 为 yes, 以 启用 SMTP 认证 。 smtpd_recipient _restrictions 
表示 通过 收 件 人 地 址 对 客户 端 发 来 的 邮件 进行 过 滤 ， 通 常 可 以 有 以 下 几 种 限制 规则 。 

口 permit mynetworks: 只 要 邮件 的 收 件 人 地 址 位 于 mynetworks 参数 指定 的 网 段 就 可 

口 permit sasl_authenticated: 允许 转发 通过 了 SASL 认证 的 用 户 的 邮件 。 

口 reject_unauth_ destination: 拒绝 转发 包含 未 授权 的 目的 邮件 服务 器 的 邮件 。 
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broken_sasl auth_clients 选项 表示 是 否 接受 非 标准 的 SMTP 认证 。 有 一 些 Microsoft 的 
SMTP 客户 端 (如 Outlook Express 4.x) 采用 非 标准 的 SMTP 认证 协议 , 需要 将 该 参数 设置 
为 yes 才 可 以 解决 这 类 不 兼容 问题 。smtpd_sasl_security_options 选项 用 来 限制 某 些 登 录 的 
方式 ， 将 该 选项 值 设置 为 noanonymous 时 ， 表 示 禁 止 采用 匿名 登录 方式 。 

上 述 配置 修改 后 ， 在 重新 启动 进程 前 ， 还 需要 检查 一 下 Postfix 是 否 已 经 支持 了 SASL 
认证 ， 方 法 如 下 : 

# Postconf -a 


dovecot 


# 


postconf 命令 用 于 输出 Postfix 服务 器 当前 的 配置 状态 ，-a 表示 输出 当前 支持 的 SASL 
认证 类 型 。 如 上 所 示 ， 如 果 只 输出 dovecot， 而 不 包括 cyrus， 则 表明 CYRUS 的 SASL 认 
证 还 未 被 支持 ， 此 时 还 需要 重新 编译 Postfix 源 代码 。 停 止 Postfix 服务 器 进程 ， 再 进入 源 
代码 目录 后 ， 输 入 以 下 命令 : 


make -f Makefile.init makefiles 'CCARGS=-DUSE SASL AUTH -DUSE CYRUS_SASL 
-I/usr/include/sasl' 'AUXLIBS= -L/usr/lib/sasl2 -lsasl2 -1z -lm' 

make 

make install 


第 一 条 make 命令 加 入 了 很 多 编译 选项 ,这 些 选项 包含 了 对 Cyrus SASL 的 支持 make 
install” 命 令 实际 上 是 对 原 有 Postfix 文件 的 更 新 ， 步 又 与 17.2.3 小 节 一 样 。 安 装 完成 后 ， 
当 再 执行 “postconf -a” 时 ， 将 会 看 到 cyrus 输出 

此 外 , 由 于 当 Postfix 要 使 用 SMTP 认证 时 , 会 读 取 /etc/sasl2/smtpd.conf 文件 中 的 内 容 ， 
以 确定 所 采用 的 认证 方式 。 因 此 如 果 要 使 用 saslauthd 这 个 守护 进程 来 进行 密码 认证 ， 就 必 
须 确 保 /etc/sasl2/smtpd.conf 文件 中 的 内 容 为 : 


pwcheck _ method:saslauthd 


所 有 的 工作 完成 后 ， 就 可 以 重新 启动 Postfix 了 。 此 时 ， 客 户 机 与 Postfix 服务 器 正常 
连接 后 ， 输 入 EHLO 命令 时 ， 服 务 器 的 回应 如 下 所 示 。 


C:\>telnet 10.10.1.29 25 

220 mail.wzvtc.edu ESMTP Postfix 
ehlo 10.10.1.253 
250-mail.wzvtc.edu 
250-PIPELINING 

250-SIZE 10240000 


250-VREY 
250-ETRN 
250-AUTH LOGIN PLAIN // 支 持 认证 
250-AUTH=LOGIN PLAIN // 支 持 认证 


250-ENHANCEDSTATUSCODES 

250-8BITMIME 

250 DSN 

可 以 发 现 ， 当 客户 端 执 行 EHLO 命令 后 ， 服 务 器 的 响应 多 了 两 行 AUTH， 表 明 此 时 的 
Postfix 已 经 支持 SMTP 认证 。 
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17.4 Postfix 与 其 他 软件 的 集成 


17.3 节 介绍 了 Postfix 服务 器 本 身 的 配置 , 但 Postfix 只 是 承担 了 邮件 系统 中 的 MTA 功 
能 。 一 个 完整 的 邮件 系统 还 需要 其 他 很 多 功能 ， 如 POP/IMAP 服务 、Web 界面 客户 端 、 邮 
件 账号 存储 在 数据 库 中 ， 以 及 过 滤 垃 圾 邮件 等 。 这 些 功 能 Postfix 软件 并 不 具备 ， 需 要 与 其 
他 软件 配合 才能 实现 。 本 节 将 介绍 这 些 第 三 方 软件 的 安装 、 运 行 和 配置 方法 等 内 容 。 


17.4.1 用 vm-pop3d 构建 POP3 服务 器 


Postfix 服务 器 承担 的 是 MTA 角色 ， 它 可 以 把 邮件 投递 到 用 户 的 信箱 ， 在 UNIX 中 可 
以 直接 通过 mail 命令 查看 用 户 信箱 中 的 邮件 , 但 用 户 有 时 更 希望 能 把 邮件 下 载 到 自己 的 客 
户 端 ， 以 便 能 以 图 形 界面 的 形式 进行 浏览 。 可 以 承担 POP3 或 IMAP 服务 器 的 软件 很 多 ， 
如 courier-imapd、cyrus-imapd 等 软件 包 ， 都 在 提供 IMAP 服务 器 的 同时 ， 也 提供 了 POP3 
服务 器 的 功能 。 但 这 些 软件 因为 功能 较 多 , 配置 起 来 相当 复杂 。 下 面 先 以 最 简单 的 vm-pop3d 
软件 为 例 ， 讲 述 POP3 服务 器 的 架设 。 

vm-pop3d 的 源 代码 可 以 从 其 官方 网 站 http:/www.reedmedia.net/software/virtualmail- 
pop3d/ 下 载 ， 目 前 最 新 版 本 是 1.1.6， 文 件 名 是 vm-pop3d-1.1.6.tar.gz。 下 载 到 当前 目录 后 ， 
可 以 输入 以 下 命令 以 默认 方式 进行 解 包 、 编 译 、 链 接 与 安装 。 

# tar -zxvf vm-pop3d-1.1.6.tar.gz 

# cd vm-pop3d-1.1.6 

# ./configure 


# make 
# make install 


安装 的 过 程 实际 上 就 是 把 命令 文件 vm-pop3d 复制 到 /usr/local/sbin 目录 ， 再 把 帮助 手 
册页 文件 vm-pop3d.8 复制 到 /usr/local/man/man8/ 目 录 。 由 于 vm-pop3d 没有 自己 的 配置 文件 
来 设置 连接 、 安 全 等 方面 的 选项 ， 因 此 需要 通过 inetd 进程 进行 调用 , 方法 是 在 /etc/xinetd.d 
目录 下 建立 一 个 名 为 vm-pop3d 的 文件 ， 并 输入 以 下 内 容 : 


# more /etc/xinetd.d/vm-pop3d 
service pop3 
{ 
socket type = stream 
protocol = tcp 
wait = no 
user = root 
instances = 25 
server = /usr/local/sbin/vm-pop3d 
server args = -u nobody 
log type = SYSLOG local4 info 
log on_ success = PID HOST EXIT DURATION 
log on failure = HOST ATTEMPT 
disable = no 


} 


以 上 配置 中 ，server 选项 指明 了 让 xinetd 调用 /usr/local/sbin/vm-pop3d。user 选项 指明 
了 由 root 用 户 执 行 vm-pop3d 进程 。 由 于 安全 原因 ， 在 实际 应 用 中 可 以 创建 一 个 普通 用 户 
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执行 vm-pop3d 进程 ， 但 这 个 用 户 应 该 属于 mail 用 户 组 ， 或 者 保证 对 用 户 的 信箱 文件 有 访 
问 权限 。 其 余 的 配置 选项 含义 可 参见 11.1.6 节 。 为 了 使 配置 生效 ， 需 要 重启 xinetd 进程 。 
# service xinetd restart 
由 于 pop3 默认 监听 的 是 TCP 的 110 号 端口 ， 因 此 可 以 用 以 下 命令 查看 一 下 该 端口 是 
否 已 经 处 于 监听 状态 。 


# netstat -anplgrep :110 
tcp 0 00.0.0.0:110 0.0.0.0:* LISTEN 30767/xinetd 


可 见 ，110 端口 已 经 被 xinetd 进程 监听 。 为 了 使 远程 客户 可 以 通过 网 络 访问 POP3 服 
务 器 ， 再 输入 以 下 命令 开放 防火 墙 的 110 端口 。 


# iptables -I INPUT -p tcp --dport 110 -j ACCEPT 


以 上 步 又 完成 后 ， 还 需要 设置 如 何 对 POP3 用 户 进行 认证 。 如 果 邮 箱 用 户 使 用 的 是 操 
作 系统 用 户 账号 , 可 以 通过 PAM 模块 使 用 /etc/passwd 文件 对 用 户 进行 认证 , 具体 方法 是 在 
/etc/pam.d 目录 下 创建 一 个 名 为 vm-pop3d 的 文件 ， 内 容 如 下 所 示 。 

# more /etc/pam.d/vm-pop3d 

#%PAM-1 .0 


auth required /lib/security/pam unix.so shadow 
account required /lib/security/pam unix.so 


下 面 可 以 通过 telnet 命令 对 POP3 服务 器 进行 测试 (假设 有 一 个 系统 用 户 abc， 已 经 在 
17.3.1 节 的 测试 中 收 到 了 一 封 邮件 )。 


C:\>telnet 10.10.1.29 110 // 与 POP3 服务 器 的 110 端口 进行 连接 
+OK POP3 Welcome to vm-pop3d 1.1.6 <32450.1228476145@localhost.localdomain> 
user abc // 用 户 名 

+OK 

pass abc // 密 码 

+OK opened mailbox for abc 

stat // 列 出 邮箱 中 的 邮件 数 和 总 字 节 数 
+OK 1 442 

sel // 列 出 第 一 封 邮件 的 字 节 数 

+OK 1 442 

retr 1 // 读 取 第 一 封 邮件 的 内 容 

十 OK 


Return-Path: <test123Q@wzvtc.cn> 
X-Original-To: abc@mail.wzvtc.edu 
Delivered-To: abcemail.wzvtc.edu 
Received: from er23r23 (unknown [10.10.91.252]) 
by mail.wzvtc.edu (Postfix) with ESMTP id 754R3855EE1 
for <abc@mail.wzvtc.edu>; Fri, 5 Dec 2008 19:21:28 +0800 (CST) 
Message-Id: <20081205112158.754A3855EEl@mail.wzvtc.edu> 
Date: Fri, 5 Dec 2008 19:21:28 +0800 (CST) 
From: testl23@wzvtc.cn 
To: undisclosed-recipients:; 


testing 


ee // 给 第 一 封 邮件 做 上 删除 标志 
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+OK Message 1 marked 
stat 
+OK 0 0 


quit // 退 出 , 并 真正 删除 做 上 删除 标志 的 邮件 

+OK 

系统 用 户 abc 默认 的 信箱 文件 是 /var/spool/mail/abc。 在 以 上 测试 中 ， 系 统 账 号 abc 登 
录 到 POP3 服务 器 ， 再 通过 POP3 命令 从 信箱 中 读 取 了 邮件 ， 再 把 邮件 删除 。 相 应 地 ， 信 
箱 文件 abc 的 字 节 数 将 会 发 生变 化 。 也 可 以 通过 Foxmail 邮件 客户 端 进行 测试 ， 此 时 有 关 
POP3 服务 器 的 设置 如 图 17-8 所 示 。 


了 管理 Ea 
SS [可 坑 [字体 |[ 信 噬 | 服务 器 | 保 久 备份 高级] 其 他 POP3 | 同步 | 
心 qq(2447632371) 

pop3 POP3 帐 号 : 2447632371@qq.com 
WD): 
接收 节 件 服务 器 (POP3): 
192.168.127.135 
发 送 最 件 设 务 器 (SMTP): 
192.168.127.135 
可 发 送 服 务 器 需要 身份 验证 (A) 
国 每 隔 (O 15 分 钟 自动 收取 新 部 件 (M) 


图 17-8” Foxmail 账号 管理 中 的 POP3 服务 器 设置 


以 上 设置 完成 后 ， 单 击 工具 栏 上 的 “发 送 /接收 ”按钮 ， 也 可 以 从 信箱 读 取 邮 件 。 


全 说 明 : 实际 上 ， 当 使 用 Outlook Express 读 取 邮 件 时 ， 向 POP3 服务 器 发 送 的 命令 和 前 面 
手工 测试 时 是 差不多 的 ， 只 不 过 都 是 由 Outlook Express 自动 完成 的 ， 不 需要 人 工 
输入 。 


17.4.2 ”用 Dovecot 架设 POP3 和 IMAP 服务 器 


用 vm-pop3d 架设 POP3 服务 器 非常 简单 ,但 提供 的 功能 比较 有 限 , 而 且 不 能 提供 IMAP 
服务 器 的 功能 。 下 面 再 介绍 一 款 能 同时 提供 POP3 和 IMAP 服务 的 Dovecot 软件 ， 它 也 是 
一 种 可 以 在 Linux 下 运行 的 开源 软件 ， 把 安全 作为 主要 的 设计 目标 ， 而 且 速 度 快 ， 占 用 内 
存 小 ， 配 置 简单 ， 可 以 在 各 种 规模 的 场合 使 用 。 可 以 使 用 下 面 的 命令 检查 系统 是 否 已 经 安 
装 了 dovecot 软件 包 。 


# rpm -qalgrep dovecot 


RHEL 6 默认 没有 安装 dovecot 软件 包 ， 可 以 从 发 行 版 的 光盘 中 把 
dovecot-2.0.9-2.el6_1.1.i686-rpm 包 文件 复制 到 当前 目录 ,再 用 以 下 命令 安装 dovecot 软 件 包 。 


# rpm -ivh /mnt/Packages/dovecot-2.0.9-2.e16 1.1.i686.rpm 
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安装 以 上 dovecot 软件 包 时 ， 还 需要 perl-DBI 和 mysql 软件 包 的 支持 ， 应 该 要 事先 安 


装 这 两 个 软件 包 。 安 装 完成 后 ,为 了 启用 dovecot 服务 , 还 需要 对 主 配置 文件 /etc/dovecot. 


文件 做 一 下 修改 ， 即 在 初始 的 /etc/dovecot.conf 文件 中 加 入 以 下 内 容 。 


protocols = imap pop3 # 启用 IMAP 和 POP3 服务 器 
ssl disable = yes # 禁用 SSsL 安全 链接 

passdb passwd { # 选用 /etc/passwd 认证 文件 
} 

passdb shadow { # 选用 /etc/shadow 认证 文件 


} 
这 些 配 置 指令 在 初始 配置 文件 中 均 已 经 存在 ， 只 是 原来 是 被 注释 了 ， 现 在 把 注释 


conf 


去 掉 


即 可 。 在 初始 配置 文件 中 还 有 很 多 内 容 ， 说 明 dovecot 的 功能 是 相当 丰富 的 。 以 上 步骤 完 


成 后 ， 可 以 通过 以 下 命令 启动 dovecot 服务 ， 进 行 检验 。 


# /etc/rc.d/init.d/dovecot start 
# ps -eaflgrep dovecot 


root T7137 1 0 06:29 ? 00:00:00 /usr/sbin/dovecot 
root 7140 T1370 0 06:29 了 00:00:00 dovecot-auth 
dovecot 7204 3 了 和 0 06:300 2 00:00:00 imap-login 
dovecot 7271 7137 0 06:32 站 00:00:00 pop3-login 
dovecot 7305 Ta37 0 06:33 党 00:00:00 pop3-login 
dovecot 8285 3 0 O03 3 00:00:00 imap-login 
dovecot 8286 3 0 07:03 2 00:00:00 imap-login 
dovecot 8293 TE 0 Drs03 00:00:00 pop3-login 

root 8614 5082 0 OT pts/2 00:00:00 grep dovecot 


可 以 看 到 ，dovecot 服务 包含 了 两 个 root 用 户 运 行 的 进程 ， 以 及 6 个 dovecot 用 户 
的 进程 。dovecot 用 户 是 在 安装 dovecot 软件 包 时 自动 创建 的 。 


全 注意 :如 果 原 来 的 vm-pop3d 还 在 运行 的 ， 要 先 停 掉 ， 否 则 ， 端 口 110 的 监听 将 会 


运行 


出 现 


冲突 。 停 止 vm-pop3d 的 方法 是 把 /etc/xinetd.d/vm-pop3d 中 的 disable 选项 的 值 由 


no 改 为 yes， 再 重启 xinetd 进程 。 


下 面 再 看 一 下 POP3 服务 和 IMAP 服务 相应 的 默认 端口 号 是 否 已 经 处 于 监听 状态 。 


# netstat -anplgrep :110 


tcp 0 Det 和 LISTEN 7137/dovecot 
# netstat -anplgrep :143 

tcp 0 Bh be i LISTEN 7137/dovecot 
# 


可 见 ，110 端口 和 143 端口 均 已 由 dovecot 进程 进行 监听 。 为 了 向 远程 用 户 提供 服务 ， 


如 果 主 机 有 防火 墙 的 ， 还 要 用 以 下 命令 开放 这 两 个 端口 。 


# iptables -I INPUT -p tcp --dport 110 -j ACCEPT 
# iptables -I INPUT -p tcp --dport 143 -j] ACCEPT 


可 以 从 远程 客户 机 连接 到 dovecot 服务 器 主机 , 再 通过 命令 测试 dovecot 服务 是 否 
正常 运行 。 POP3 服务 的 测试 过 程 见 17.4.1 节 。 下 面 看 一 下 IMAP 服务 器 的 测试 过 程 。 


C:>telnet 10.10.1.29 143 // 连 接 到 IMAP 服务 器 
* OK Dovecot ready. // 提 示 连 接 成 功 
A LOGIN abc abc // 用 账号 abc/abc 进行 登录 


已 经 
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A OK Logged in. // 提 示 登 录 成 功 
A SELECT INBOX // 选 择 INBOX 信箱 
* FLAGS (\Answered \Flagged \Deleted \Seen \Draft) 
* OK [PERMANENTFLAGS (\Answered \Flagged \Deleted \Seen \Draft \*)] Flags 
permit 
ted., 
* 2 EXISTS 
* 2 RECENT 
* OK [UNSEEN 1] First unseen. 
* OK [UIDVALIDITY 1228602613] UIDs valid 
* OK [UIDNEXT 6] Predicted next UID 
A OK [READ-WRITE] Select completed. 
A FETCH 1 body[header] // 提 取 第 一 封 邮 件 内 容 
* 1 FETCH (FLAGS (\Seen \Recent) BODY[HEADER] {696} 
Return-Path: <ltf@wzvtc.cn> 
X-Original-To: abc@mail.wzvtc.edu 
Delivered-To: abc@mail.wzvtc.edu 
Received: from jujumao (unknown [192.168.1.146]) 
by mail.wzvtc.edu (Postfix) with SMTP id 9B025855EF8 
for <abc@mail.wzvtc.edu>; Sun, 7 Dec 2008 07:33:17 +0800 (CST) 
Message-ID: <001801c957b7$0ed03e90$640110ac@jujumao> 
From: "ltf" <ltf@wzvtc.cn> 
To: <abc@mail.wzvtc.edu> 
Subject: test 
Date: Sat, 6 Dec 2008 23:25:02 +0800 
MIME-Version: 1.0 
Content-Type: multipart/alternative; 
boundary="----= NextPart 000 0012 01C957F9.DCFCFB90" 
X=-Priority: 3 
XxX-MSMail-Priority: Normal 
X-Mailer: Microsoft Outlook Express 6.00.2900.3138 
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.3350 


) 
A OK Fetch completed. 
A LOGOUT 


* BYE Logging out // 退 出 

A OK Logout completed. 

也 可 以 在 Foxmail 中 进行 测试 ， 此 时 在 配置 邮件 账户 时 ， 要 在 如 图 17-9 所 示 的 设置 对 
话 框 中 选择 接收 邮件 器 是 IMAP 服务 器 ， 而 不 是 默认 的 POP3 服务 器 。 


SS a = 基本 


帐号 
已 生动 iR 别 出 您 的 邮箱 类 型 ， 如 非 必要 ,无 于 更 改 设置 . 


邮箱 类 型 (M): |IMAP 


密码 (D): 
司 记 住宅 码 (R) 
帐号 问 述 (A): ”24476323 中 


LC EEs®) [Fm |[ wo 


图 17-9 在 Foxmail 中 设置 IMAP 账号 
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当 配 置 dovecot 与 Postfix 集成 服务 时 ， 最 重要 的 是 有 关 认 证 方式 和 邮箱 位 置 的 配置 。 
在 dovecot 的 配置 文件 /etc/dovecot.conf 中 提供 了 所 有 配置 选项 的 例子 ， 并 有 详细 的 解释 ， 
户 根据 需要 去 掉 注释 ， 再 做 少量 修改 即 可 。 


17.4.3 ”使 用 MySQL 存储 邮件 账号 


除了 可 以 使 用 操作 系统 账号 作为 邮件 账号 以 外 ，Postfix 还 可 以 使 用 其 他 形式 存储 邮件 
账号 。 一 种 是 DBM 或 Berkeley DB 格式 的 本 地 文件 ， 还 有 一 种 是 利用 网 络 数据 库 。 其 中 ， 
使 用 网 络 数 据 库 可 以 拥有 更 多 、 更 方便 的 账号 管理 方法 , 也 可 以 很 方便 地 与 其 他 软件 集成 。 
下 面 讲述 如 何 使 用 MySQL 数据 库 来 存储 Postfix 邮件 账号 。 

为 了 使 用 MySQL 数据 库存 储 邮件 账号 ， 先 要 理解 Postfix 的 查询 表 。Postfix 把 查询 表 
用 于 存储 和 查找 各 种 信息 的 媒介 ， 所 有 的 查询 表 都 以 type:table 的 形式 表示 。 其 中 ，type 
是 某 一 种 数据 库 的 类 型 ， 包括 hash、ldap、mysql、nis、tcp 等 ， 而 table 表示 查询 表 的 名 称 ， 
在 Postfix 有 时 也 称 为 数据 库 。 下 面 是 在 main.cf 中 定义 查询 表 的 儿 个 例子 。 


alias maps = hash:/etc/postfix/aliases # 本 地 别名 查询 表 
header checks = regexp:/etc/postfix/header checks # 内 容 过 滤 查 询 表 
transport maps = hash:/etc/postfix/transport # 路 由 查询 表 

virtual alias maps = hash:/etc/postfix/virtual # 地 址 重 写 查 询 表 


在 以 上 配置 中 ， 为 各 种 配置 选项 指定 了 一 个 查询 表 ，Postfix 执行 这 些 配置 选项 指定 的 
功能 时 ， 将 从 相应 的 查询 表 中 根据 索引 键 查 找 指定 的 值 。 这 种 机 制 实际 上 用 简单 的 接口 实 
现 了 复杂 的 系统 集成 功能 ， 给 用 户 提供 了 极 大 的 方便 。 另 外 ， 在 配置 Postfix 时 ， 可 以 先 使 
用 简单 的 Berkeley DB 等 本 地 文件 作为 查询 表 ， 成 功 后 再 移植 到 复杂 的 MySQL 等 数据 库 
系统 中 ， 此 时 ，Postfix 的 配置 几乎 不 需要 改变 。 


外 说 明 : 可 以 把 固定 的 查询 表 建 立 在 本 地 文件 中 ， 而 把 频繁 变化 的 查询 表 建 立 在 数据 库 系 
统 中 ， 这 样 可 以 提高 性 能 ， 方 便 管 理 。 


Postfix 的 查询 表 可 以 使 用 MySQL 类 型 ， 这 样 就 可 以 把 虚拟 账号 、 访 问 控 制 信息 、 别 
名 等 存储 在 MySQL 数据 库 中 。 还 可 以 把 这 些 表 保存 在 多 个 MySQL 数据 库 中 ， 当 一 个 数 
据 库 出 现 故 障 时 ， 能 马上 切换 到 另 一 个 数据 库 ， 以 提高 系统 的 可 靠 性 。 当 Postfix 服务 器 非 
常 繁忙 时 ， 可 能 会 产生 很 多 并 发 的 MySQL 客户 连接 。 因 此 ， 当 使 用 MySQL 作为 Postfix 
的 查询 表 时 ， 要 充分 考虑 到 这 种 情况 。 如 果 可 能 ， 应 该 使 用 Postfix 的 proxymap 服务 降低 
发 连接 数 。 

为 了 使 Postfix 支持 MySQL 数据 库 ， 需 要 在 编译 时 加 入 相应 的 编译 选项 ， 同 时 还 需要 
MySQL 客户 端 库 文件 的 支持 。 如 果 没 有 安装 MySQL 客户 端 接口 库 文件 ， 可 以 从 
http://www.mysql.com/downloads 处 下 载 。 当 编译 Postfix 时 ， 除 了 要 指出 这 些 MySQL 库 和 
头 文件 的 位 置 外 ， 还 要 加 入 -DHAS_MYSQL 选项 ， 具 体 命令 如 下 所 示 。 

# make -f Makefile.init makefiles \ 

'CCARGS=-DHAS _ MYSQL -I/usr/local/mysql/include' \ 

'AUXLIBS=-L/usr/local/mysql/lib -lmysqlclient -1z -lm' 


# make 
# make install 
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按 以 上 编译 选项 重建 Postfix 后 , 就 可 以 支持 MySQL 数据 库 了 , 具体 方法 是 在 main.cf 
配置 文件 中 加 入 类 似 以 下 内 容 。 


alias maps = mysql:/etc/postfix/mysql-aliases.cf 


以 上 配置 指定 了 一 个 本 地 别名 的 MySQL 类 型 的 查询 表 。 文 件 /etc/postfix/mysql- 
aliases.cf 包含 很 多 关于 怎样 去 访问 MySQL 数据 库 的 信息 ， 下 面 是 这 个 文件 的 一 些 例子 
内 容 。 

# 下 面 是 登录 到 MysQL 数据 库 的 用 户 名 和 密码 


user = someone 
password = some password 


# 确定 使 用 MysQz 的 哪 一 个 数据 库 


dbname = customer database 


# SQL 查询 语句 的 模板 
# 语句 中 的 ss 表示 Postfix 引用 查询 表 时 的 索引 键 
query = SELECT forw_addr FROM mxaliases WHERE alias='%s' AND status='paid' 


# 如 果 使 用 Postfix2.2 以 前 的 版 本 ,以 上 的 SQL 语句 要 用 下 面 这 种 形式 

select field = forw addr 

table = mxaliases 

where field = alias 

# Don't forget the leading "AND"! 

additional conditions = AND status = 'paid' 

以 上 只 是 MySQL 数据 库 接口 文件 的 基本 内 容 ,根据 需要 , 可 以 配置 成 使 用 多 个 MySQL 
数据 库 查询 表 。 也 可 以 使 同一 个 查询 表 位 于 多 个 数据 库 内 ， 当 一 个 数据 库 出 现 故障 时 ， 可 
以 使 用 男 一 个 数据 库 ， 以 提高 可 靠 性 。 


17.4.4 用 Squirrelmail 构建 Web 界面 的 邮件 客户 端 


除了 用 Outlook Express、Foxmail 等 邮件 客户 端 收发 电子 邮件 外 ， 还 有 一 种 流行 的 方 
式 是 使 用 Web 界面 的 邮件 客户 端 。 它 的 优点 是 客户 机 上 只 需要 有 浏览 器 即 可 , 不 需要 安装 
其 他 软件 。 为 了 能 让 用 户 使 用 Web 界面 的 客户 端 ， 首 先 需 要 架设 Web 服务 器 ， 然 后 还 需 
要 采用 Web 语言 编写 一 组 Web 程序 ， 这 组 Web 程序 与 邮件 服务 器 进行 交互 ， 帮 助 用 户 使 
j Web 页 面 的 方式 收发 邮件 。 

可 以 使 Postfix 服务 器 和 Web 服务 器 进行 对 接 的 接口 程序 有 很 多 种 ,其 中 的 Squirrelmail 
软件 包 具 有 功能 强大 、 配 置 灵活 、 开 源 等 特点 。 下 面 就 以 Squirrelmail 为 例 介 绍 一 下 Web 
界面 邮件 客户 端的 安装 、 使 用 和 配置 方法 (该 软件 源码 包 可 以 通过 http://www.squirrelmail. 
org 网 站 下 载 )。 该 软件 名 为 squirrelmail-webmail-1.4.22.tar.gz。 


tar zxvf squirrelmail-webmail-1.4.22.tar.gz -C /usr/local/apache2/htdocs/ 
cd /usr/local/apache2/htdocs/ 

mv squirrelmail-webmail-1.4.22/ webmail 

cd webmail/ 

mkdir -p attach data 

chown -R daemon:daemon attach/ data/ 

chmod 730 attach/ 

cp -p config/config default.php config/config.php 

vi config/config.php 
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$squirrelmail default language = 'zh CN'; 

$default charset = 'zh CN.UTF-8'; 

$domain = 'baidu.com'; 

$imapServerAddress = 'localhost' 

$smtpPort = 25; 

$imap server type = 'dovecot'; 

$imapPort = 143; 

$data dir = '/usr/local/apache2/htdocs/webmail/data/'; 
$attachment dir = '/usr/local/apache2/htdocs/webmail/attach/'; 
/usr/local/apache2/bin/apachectl] start 


安装 完成 后 ， 重 启 Apache 服务 器 。 然 后 ， 在 地 址 栏 中 输入 “http:// 主 机 名 /webmail”， 
将 会 出 现 Squirrelmail 的 登录 页 面 如 图 17-10 所 示 。 


【< 】 大 rtpy/19216… 只 ~ 


[ese] 


Box| squiremai- Loon x 


SquirrelMail 


webrnail 
pe for 


@ 


nuts 


SquirelMail version 1.422 


By the SquirrelMail Project Team 
SquirrelMail Login 


Name | 


Password: 


Logn 


图 17-10” ”Squirrelmai 的 登录 页 面 


当然 , 由 于 此 时 还 没有 配置 Squirrelmail 与 邮件 服务 器 的 连接 , 还 不 能 使 用 Squirrelmail 
进行 邮件 收发 。Squirrelmail 的 主 配置 文件 是 /etc/squirrelmail/config.php,， 可 以 直接 修改 该 文 
件 对 Squirrelmail 进行 配置 ， 但 最 常见 的 还 是 使 用 Squirrelmail 提供 的 配置 工具 进行 配置 。 
在 /usr/local/apache2/htdocs/webmail/config 目录 下 有 一 个 名 为 conf.pl 的 文件 ， 它 是 用 pl 语 
言 编写 的 一 个 程序 , 可 以 以 菜单 方式 让 用 户 修改 Squirelmail 的 配置 .可 以 通过 “perl confpl” 
命令 执行 这 个 文件 ， 此 时 将 会 出 现 以 下 菜单 界面 。 


SquirrelMail Configuration : Read: config.php (1.4.0) 


Main Menu -- 

1. Organization Preferences 
2. Server Settings 

3. Folder Defaults 

4. General Options 

5. Themes 

6. Address Books 

7. Message of the Day (MOTD) 
8. Plugins 

9. Database 

10. Languages 

D. Set pre-defined settings for specific IMAP servers 
cc Turn color off 

S Save data 
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Q Quit 


Command >> 


在 以 上 主 菜单 项 目 中 ， 需 要 设置 的 内 容 主要 有 以 下 几 个。 

选择 D 以 后 , 再 选择 所 要 连接 的 IMAP 服务 器 。 Squirrelmail 要 通过 IMAP 协议 读 取 用 
户 的 信箱 ， 然 后 再 把 信箱 中 的 邮件 以 Web 界面 的 形式 提供 给 用 户 管理 。 因 此 ， 在 使 用 
Squirrelmail 以 前 ， 要 先 架设 好 一 个 能 正常 工作 的 IMAP 服务 器 。 前 面 已 经 用 dovecot 架设 
了 IMAP 服务 器 ， 因 此 ， 此 处 选择 dovecot 选项 ， 然 后 按 下 任意 键 返 回 到 主 菜 单 。 

在 主 菜 单 界面 下 ， 按 下 数字 2， 可 以 进入 服务 器 设置 子 菜单 。 由 于 前 面 已 经 对 IMAP 
服务 器 做 了 预 设置 ， 因此 这 里 只 需要 将 服务 器 的 域名 ( 子 菜单 项 1) 修改 为 mail.wztvc.edu， 
将 发 送 邮件 的 方式 〈 子 菜单 项 3) 改 为 SMTP， 然 后 按 下 S 键 保 存 数据 ， 再 按 下 R 键 返回 
到 主 菜单 。 

选择 主 菜单 项 10, 进入 语言 设置 子 菜单 。 这 里 可 将 默认 语言 ( 子 菜单 项 1) 改 为 zh_CN 
(中 文 )， 将 默认 字符 集 ( 子 菜单 项 2) 改 为 gb2312。 这 样 设置 后 ，Squirrelmail 就 可 以 提供 
对 中 文 的 支持 ， 而 且 所 有 的 提示 都 变 为 中 文 。 

返回 主 菜单 后 ， 再 选择 主 菜单 项 S$， 即 可 将 所 做 的 修改 同时 保存 在 文件 /usr/local/ 
apache2/htdocs/webmail/config/config.ph 和 /usr/local/apache2/htdocs/webmail/config ure/config. 
php 中 ， 实 际 上 后 者 是 前 者 的 符号 链接 文件 。 以 上 根据 实际 情况 对 squirrelmail 的 基本 配置 
做 了 修改 ， 其 他 的 配置 根据 需要 也 可 以 做 进一步 修改 ， 特 别 是 在 主 菜单 选项 8 中 ， 可 以 选 
择 安装 各 种 插件 。 配 置 完成 后 ， 需 要 用 以 下 命令 重启 Apache 服务 器 ， 使 配置 生效 。 


# /usr/local/apache2/bin/apachectl] restart 


全 注意 ; 如 果 强 制 使 用 了 SELinux， 为 了 使 Apache 能 通过 网 络 连接 到 IMAP 服务 器 ， 可 
能 还 需要 执行 以 下 命令 改变 操作 系统 参数 设置 。 
# setsebool -P httpd can network connect=1 


最 后 在 如 图 17-10 所 示 的 Squirrelmail 登录 界面 中 输入 用 户 名 和 密码 ， 正 常情 况 下 ,可 
以 出 现 如 图 17-11 所 示 的 Squirrelmail 主 界面 。 


镍 http//192.168.59.131/ - Windows Internet Explorer [ey] 
加 口 - | 下 hspynsziss. -| 女 | X | 国 到 re 
次 | 诊 目 Sas 
| 乱 hupy/19216859.131/ vy 出 全 过- 
可 6 二 各 部 和 类 话机 担 委 ol 
移动 已 选 邮件 至 : : 转换 已 选 邮件 : 
[orarts |EEIEEEIEEEIEZIECEZ 
发 件 人 四 “日 期 目 主题 四 
此 邮件 夹 为 空 
四 Internet | 保护 模式 禁用 斑 7 有 1006 ~ 


图 17-11 ”Squirrelmail 主 界面 
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Squirrelmail 需要 和 其 他 软件 配合 才能 正常 工作 ， 包 括 支持 PHP4 的 Apache 服务 器 、 
Postfix 服务 器 、 用 dovecot 安装 的 IMAP 服务 器 等 。 因 此 ， 如 果 运 行 时 出 现 问题 ， 除 了 从 
自身 寻找 原因 外 ， 还 要 注意 其 他 服务 器 工作 是 否 正 常 。 


17.4.5 用 procmail 过 滤 邮 件 


电子 邮件 是 互联 网 上 最 重要 的 通讯 手段 和 工具 之 一 。 但 从 电子 邮件 诞生 的 那天 起 ， 人 
们 就 为 经 常 收 到 无 用 的 垃圾 邮件 而 苦恼 。 这 些 垃圾 邮件 不 仅 传播 病毒 ， 而 浪费 了 大 量 的 网 
络 带 宽 、 系 统 资源 。 据 统计 ， 世 界 上 每 年 由 于 垃圾 电子 邮件 给 人 们 带 来 的 损失 就 高 达 数 百 
亿美 元 。 下 面 简单 介绍 一 下 如 何 利用 procmail 来 对 付 垃圾 邮件 。 

电子 邮件 系统 的 功能 是 用 来 接收 和 发 送 电子 邮件 ， 在 Linux 平台 下 最 常见 的 是 使 用 
Sendmail、Postfix、Qmail 等 作为 MTA， 再 加 上 某 种 POP37MAP 服务 器 ， 就 可 以 构成 一 个 
基本 的 邮件 系统 。 但 是 这 样 的 系统 对 付 垃圾 邮件 还 是 无 能 为 力 的 ， 虽然 postfix 自 带 了 黑白 
名 单 等 过 滤 邮 件 的 功能 ， 但 由 于 规则 比较 简单 ， 过 滤 垃 圾 邮件 的 效果 和 功能 都 很 一 般 。 因 
此 ， 还 需要 借助 第 三 方 的 软件 来 承担 反 垃 圾 邮件 的 任务 。 在 Linux 平台 下 的 开源 软件 中 ， 
procmail 无 疑 是 最 好 的 选择 。 

Procmail 是 一 个 可 以 自 定义 的 强大 的 邮件 过 滤 工 具 。 系 统管 理 员 可 以 通过 在 客户 端 或 
者 服务 器 端 配置 Procmail 来 对 付 恼 人 的 垃圾 邮件 。 在 RHEL 6 操作 系统 中 ，procmail 邮件 
过 滤 程 序 一 般 默 认 已 经 安装 ， 可 以 用 以 下 命令 查看 : 

# rpm -qalgrep procmail 

es .22-25.1.e16.i686 

以 上 提示 表明 ，3.22 版 的 procmail 已 经 安装 在 系统 中 。 如 果 没 有 看 到 上 述 结果 ， 可 以 
在 RHEL 6 发 行 版 的 安装 光盘 找到 procmail-3.22-25.1.e16.i686.rpm， 再 进行 安装 ， 也 可 以 从 
http://www.procmail.org/ 下 载 源 代码 进行 编译 安装 。 

安装 完成 后 ， 需 要 对 procmail 进行 配置 。Procmail 有 两 种 形式 的 配置 文件 ， 一 种 是 作 
用 于 全 局 的 配置 文件 ， 是 /etc 目录 下 的 procmailrc 文件 。 还 有 一 种 是 只 和 某 个 用 户 相关 的 
配置 文件 ， 位 于 每 个 用 户 的 主 目录 下 ， 文 件 名 也 是 procmailrc， 它 只 对 过 滤 该 用 户 的 邮件 
起 作用 。 

procmail-3.22-25.1 软件 包 安 装 完成 后 ，/etc/procmailrc 文件 是 不 存在 的 ， 需 要 用 户 按照 
自己 的 要 求 建立 该 文件 。 为 了 方便 用 户 ，procmail 软件 包 在 /usr/share/doc/procmail- 
3.22/examples 目录 下 提供 了 几 个 例子 配置 ， 用 户 可 以 根据 自己 的 情况 进行 修改 ， 然 后 复制 
到 相应 的 目录 。 

procmail 的 过 滤 规 则 主要 由 各 种 recipe 组 成 ，recipe 的 格式 如 下 : 

:0 [flags] [ : [locallockfile] ] 


[condition (每 行 一 个 ) ] 
<action (只 有 一 行 )> 


第 一 行 的 “:0” 表 示 一 个 新 的 recipe 开始 。 后 面 的 那个 “:” 表 示 对 文件 进行 锁定 ， 避 
免 多 个 procmail 程序 对 相同 的 文件 进行 操作 。 所 有 的 flags 可 以 参见 procmailre 的 帮助 手册 
页 ， 下 面 列 出 几 个 常见 的 标志 。 
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H 对 邮件 的 头 部 进行 检查 (默认 )。 
B 对 邮件 的 正文 进行 检查 。 
h 把 邮件 头 的 数据 放 入 管道 、 文 件 或 其 他 邮件 并 导向 到 在 后 面 规则 中 指定 的 地 方 。 
b 把 邮件 正文 的 数据 放 入 管道 、 文 件 或 其 他 邮件 并 导向 到 在 后 面 规则 中 指定 的 
地 方 。 

口 D 区 分 字母 大 小 写 。 

conditions 可 以 有 多 行 ， 每 行 都 以 “*” 开 头 。 如 果 处 理 时 使 用 正则 表达 式 进 行 匹 配 ， 
还 有 其 他 可 用 的 符号 。 例 如 ， 以 “<” 开 头 可 以 检查 邮件 的 长 度 是 否 小 于 给 定 的 值 。 其 他 
所 有 的 conditions 可 以 参见 procmailrc 的 帮助 手册 页 。 

接 下 来 是 action 行 ， 如 果 以 “!” 开头， 则 把 邮件 转发 到 指定 的 地 址 。 如 果 是 以 “|” 开 
头 ， 则 是 启动 相应 的 程序 。 以 “{” 开 头 则 可 以 指定 嵌 套 的 recipe， 后 面 还 要 有 一 个 对 应 的 
“}”。 其 他 情况 则 被 视 为 本 地 信箱 ， 邮 件 将 发 送 到 这 个 信箱 。 此 时 ， 如 果 内 容 是 一 个 目录 ， 
则 信箱 是 maildir 格式 ， 如 果 是 文件 ， 则 是 mbox 格式 。 

除了 recipe 外 ，procmailrc 配置 文件 还 可 能 包含 一 些 环境 变量 ， 常 用 的 环境 变量 有 以 
下 见 个 。 


DOODO 


PATH: 检索 执行 文件 的 路 径 。 

SENDMAIL: 系统 中 sendmail 的 路 径 ， 也 可 以 是 postfix 链接 的 sendmail 路 径 。 
VERBOSE: 打开 或 关闭 详细 日 志 信息 。 

LOGFILE: 指定 日 志文 件 ， 默 认为 /varlog/procmail.log。 

ORGMAIL: 用 户 的 主 目录 ， 默 认为 /var/mail/$SLOGNAME。 

DEFAULT: 系统 放 信箱 文件 的 位 置 ， 默 认 和 $ORGMAIL 相同 。 

MAILDIR: procmail 工作 和 执行 的 目录 ， 默 认为 SHOME 目录 。 

下 面 再 看 一 个 具体 的 procmailrc 配置 文件 例子 ， 各 语句 的 含义 见 注释 。 


PATH=/bin:/sbin: /usr/bin:/usr/sbin/:/usr/local/bin:/usr/local/sbin 


OOOOODODO 


VERBOSE=on 
# 在 不 完全 了 解 系统 的 环境 变量 前 , 请 不 要 修改 
ORGMAIL=/var/spool/mail/$LOGNAME # 指定 用 户 邮箱 文件 的 位 置 


#MAILDIR=$HOME/ 
#DEFAULT=$ORGMAIL 
#LOGFILE=/var/log/procmail.log 


:0 # 开始 一 个 recipe 


^From.*@uunet # 来 自 uunet 域 的 邮件 

uunetbox # 都 将 发 到 $MAILDIR/uunetbox 信箱 文件 中 

# 下 面 的 规则 是 用 于 过 滤 含 Sircam Virus 病毒 的 邮件 

:0 Bh # 每 个 : 0 表示 一 个 规则 的 开始 ,用 空格 和 检查 的 内 容 隔 开 


*I send You this file in order to have your advice 


# 如 果 邮 件 正文 内 容 包含 该 字符 串 


/dev/null # 就 把 邮件 放 到 /dev/null 文件 夹 中 , 实际 上 是 删除 了 该 邮件 
# 下 面 是 一 个 过 滤 附 件 的 例子 

:0 Bh 

* 人 ^Content-Type: audio/x-wav;  # 如 果 附 件 的 MIME 类 型 是 audio/x-wav 

* name="readme .exe" # 并 且 文件 名 是 readme .exe 

/dev/null # 就 把 邮件 放 到 /dev/null 文件 夹 中 , 实际 上 是 删除 了 该 邮件 
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# 下 面 是 过 滤 特 定 的 邮件 头 , 并 把 邮件 内 容 放 到 指定 的 /mailhome/box 文件 中 
:0 


* ^Subject:.*test # 如 果 邮 件 的 主题 包含 test 

/mailhome/box # 则 放 到 /var/spool/mail/test 信箱 文件 中 

# 下 面 是 一 个 使 用 "{" 和 "}" 嵌 套 recipe 的 例子 

20 

* ^Subject:.*Hello 

i 

Os 

/dev/null 

} 

为 了 能 让 Postfix 服务 器 调用 procmail 进行 邮件 过 滤 ， 还 需要 在 Postfix 的 配置 文件 
main.cf 中 进行 设置 。 在 main.cf 中 ， 包 含 了 mailbox_command 这 样 一 个 配置 选项 ， 它 指明 
了 Postfix 的 local 进程 将 调用 哪个 命令 分 发 本 地 邮件 ， 默 认 等 于 空 ， 表 示 由 local 进程 自己 
分 发 本 地 邮件 。 如 果 把 它 指定 为 procmail， 则 本 地 邮件 的 分 发 将 交 给 procmail 程序 执行 ， 
于 是 ， 前 面 所 设 定 的 procmail 过 滤 规 则 就 可 以 起 作用 了 。 具 体 的 设置 如 下 所 示 。 


mailbox command = /usr/bin/procmail 
当 procmail 进程 被 Postfix 调用 时 ， 可 以 使 用 由 Postfix 导入 的 一 些 环境 变量 。 


全 说 明 : procmail 进程 是 以 收 件 人 的 身份 运行 ,但 发 给 root 用 户 的 邮件 并 不 是 以 root 权限 
运行 ， 而 是 使 用 default_privs 选项 指定 的 权限 值 。 


17.5. -站 结 


电子 邮件 是 Internet 上 一 项 非常 重要 的 应 用 ， 因 此 架设 邮件 服务 器 也 是 网 络 管理 员 经 
常 要 做 的 一 项 重要 工作 。 本 章 首 先 介绍 了 有 关 邮 件 系统 的 工作 原理 ， 包 括 邮 件 系 统 的 组 成 
和 传输 流程 以 及 几 种 重要 的 邮件 协议 。 接 着 讲述 了 Postfix 邮件 服务 器 的 架设 方法 , 包括 它 
的 系统 结构 介绍 、 服 务 器 软件 的 安装 、 运 行 和 配置 方法 。 最 后 鉴于 一 个 完整 的 邮件 系统 还 
需要 集成 其 他 一 些 软件 ， 又 介绍 了 Postfix 与 vm-pop3d、Dovecot、MySQL、Squirrelmail 
和 procmail 的 集成 方法 。 
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在 网 络 环境 下 ， 通 过 FTP 实现 了 在 不 同 操作 系统 的 主机 之 间 相 互 传输 文件 。 但 有 时 用 
户 还 希望 两 台 计 算 机 之 间 的 文件 系统 能 够 更 加 紧密 地 结合 在 一 起 ， 让 一 台 主 机 上 的 用 户 可 
以 像 使 用 本 机 的 文件 系统 一 样 使 用 远程 机 的 文件 系统 ， 这 种 功能 可 以 通过 共享 文件 系统 来 
实现 。 本 章 主 要 介绍 NFS 和 Samba 这 两 种 类 型 的 文件 共享 服务 。 


18.1 NFS 服务 的 安装 、 运 行 与 配置 


NFS (Network File System， 网 络 文件 系统 ) 是 历史 最 为 悠久 的 文件 共享 协议 之 一 ， 其 
目的 是 让 网 络 环境 下 的 不 同 主机 之 间 彼 此 可 以 共享 文件 。 本 节 将 介绍 NFS 服务 器 的 安装 、 
和 运行、 配置 ， 以 及 客户 端 使 用 NFS 的 方法 等 内 容 。 


18.1.1 NFS 概述 


NFS 最 初 是 由 Sun Microsystems 公司 于 1984 年 开发 出 来 的 ， 它 的 功能 是 让 整个 网 络 
共享 某 些 主机 的 目录 和 文件 。 由 于 NFS 使 用 起 来 非常 方便 ， 因 此 很 快 得 到 了 大 多 数 UNIX 
类 系统 的 支持 目前, 很 多 非 UNIX 类 的 操作 系统 也 对 NFS 提供 了 支持 ,IETE 的 RFC1904、 
RFC1813 和 RFC3010 标准 描述 了 NFS 协议 。 

NFS 采用 客户 端 /服务 器 工作 模式 。NFS 服务 器 相当 于 一 台 文 件 服务 器 , 可 以 将 自己 文 
件 系统 中 的 某 个 目录 设置 为 输出 目录 ， 然 后 客户 端 就 可 以 将 这 个 目录 挂 载 到 自己 文件 系统 
的 某 个 目录 下 。 以 后 客户 端 对 这 个 目录 下 的 文件 进行 各 种 操作 ,实际 上 就 是 对 NFS 服务 器 
上 的 输出 目录 进行 操作 ,而且 操作 方法 和 对 本 地 文件 系统 的 操作 方法 没有 区 别 。 

如 图 18-1 所 示 ，NFS 服务 器 将 /nfs/public 目录 设置 为 共享 目录 ， 客 户 端 A 和 客户 端 B 
都 可 以 将 服务 器 的 这 个 共享 目录 挂 载 到 自己 的 文件 系统 中 ， 客 户 端 A 将 其 挂 载 在 /mnt/nfs 
目录 , 而 客户 端 B 将 其 挂 载 在 home 目录 。 于 是 ， 当 客户 端 A 和 客户 端 B 分 别 进入 自己 的 
/mntnfs 和 /home 目录 时 ,实际 上 都 是 进入 了 NFS 服务 器 的 /nfs/public 目录 。 只 要 有 相应 权 


NFS 服 务 器 XX 客户 端 A 


挂 载 目录 /mnt/nfs 


导出 共享 目录 » | oe 客户 端 B 


/nfs/public 网 给 人” 挂 栽 目 录 /home 


图 18-1 NFS 工作 原理 图 
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限 ， 就 可 以 使 用 cp、mv、rm 等 命令 对 目录 中 的 文件 进行 操作 。 此 时 ， 都 是 对 NFS 服务 器 
的 /nfs/public 目录 内 的 文件 进行 操作 。 

使 用 NFS 既 可 以 提高 资源 的 使 用 率 ， 又 可 以 大 大 节省 客户 端 本 地 硬盘 的 空间 ， 同 时 也 
便于 对 资源 进行 集中 管理 。 另 外 ， 网 络 中 的 任何 主机 都 可 以 同时 承担 服务 器 和 客户 端的 角 
色 ， 就 是 在 把 自己 的 文件 共享 出 来 的 同时 ， 也 可 以 使 用 其 他 计算 机 共享 出 来 的 文件 。 

使 用 NFS， 客 户 端 可 以 透明 地 访问 服务 器 中 的 文件 系统 ， 这 不 同 于 提供 文件 传输 服务 
的 FTP 协议 。 FTP 客户 端 引用 服务 器 中 的 文件 时 ， 需 要 在 本 机 磁盘 上 产生 文件 的 一 个 完整 
的 副本 。 而 NFS 客户 端 引 用 服务 器 上 的 文件 时 ， 只 需要 读 取 需要 读 到 内 存 的 文件 部 分 ， 不 
需要 在 磁盘 中 存放 整个 文件 。 并 且 通 过 NFS 访问 时 还 是 透明 的 , 即 任何 一 个 能 够 访问 本 地 
文件 的 客户 端 程序 不 需要 做 任何 修改 ， 就 应 该 能 够 访问 一 个 NFS 文件 。 


名 注意: 虽然 NFS 协议 可 以 使 文件 在 网 络 中 共享 ， 但 是 NFS 协议 本 身 并 没有 提供 数据 传 
输 的 功能 ， 它 必须 借助 于 远程 过 程 调 用 (RPC ) 协议 来 实现 数据 的 传输 。 


18.1.2 ”远程 过 程 调用 RPC 


大 部 分 的 网 络 协议 都 是 以 请 求 /应 答 的 方式 工作 的 ， 即 客户 端 发 送 命令 给 服务 器 ， 服 务 
器 再 向 客户 端 发 送 应答 。 网 络 程序 设计 时 一 般 是 通过 调用 套 接口 函数 来 完成 与 对 方 进 行 通 
信 的 功能 ， 通 信 双 方 的 操作 系统 可 以 不 一 样 ， 网 络 程序 的 编程 语言 也 可 以 不 一 样 。 

RPC (Remote Procedure Call， 远 程 过 程 调 用 ) 是 另 一 种 不 同 的 网 络 程序 设计 方法 ， 它 
定义 了 一 种 进程 间 通 过 网 络 进行 交互 通信 的 机 制 ， 使 程序 员 编写 客户 程序 时 感觉 只 是 调用 
了 服务 器 程序 提供 的 函数 ， 而 双方 的 通信 过 程 对 程序 员 来 说 完全 是 透明 的 。 也 就 是 说 ， 一 
台 计 算 机 上 的 程序 使 用 这 种 机 制 可 以 向 网 络 中 另 一 台 计算 机 上 的 程序 请 求 服 务 ， 并 且 不 必 
了 解 支 持 通 信 的 网 络 协议 的 具体 情况 。 

一 个 RPC 调用 的 过 程 有 以 下 几 个 阶段 。 

(1) 当 客 户 端 程序 调用 一 个 远程 函数 时 , 它 实际 上 只 是 调用 了 一 个 位 于 本 机 的 RPC 函 
数 。 这 个 函数 也 称 为 客户 桩 (stub)， 客 户 桩 将 函数 的 参数 封装 到 一 个 网 络 数 据 包 中 ， 然 后 
将 这 个 数据 包 发 送 给 服务 器 。 

(2) RPC 服务 器 接收 了 客户 桩 发 送 的 这 个 数据 包 ， 解 开封 装 后 ， 从 中 提取 出 函数 的 参 
数 ， 然 后 调用 RPC 服务 端 函 数 ， 并 把 参数 传递 给 它 。 

(3) RPC 服务 端 函数 执行 完成 后 ， 就 把 结果 返回 给 RPC 服务 器 ， 服 务 器 再 把 这 个 结 
果 封 装 到 网 络 数据 包 中 ， 然 后 返回 给 原来 的 客户 桩 。 

(4) 客户 桩 收 到 结果 数据 包 后 ， 从 中 取出 返回 值 ， 将 其 交 给 原来 的 客户 端 程序 。 

以 上 过 程 是 由 RPC 程序 包 实 现 的 ，RPC 程序 包 一 部 分 在 客户 端 ， 男 一 部 分 在 服务 器 ， 
它们 之 间 可 以 使 用 套 接口 、TLI 等 方式 进行 通信 , 网 络 程序 员 不 需要 了 解 RPC 通信 的 细节 ， 
只 需要 了 解 RPC 客户 端 函数 的 使 用 方法 即 可 。 这 种 网 络 编程 方式 有 以 下 优点 。 

口 网 络 程序 设计 变 得 更 加 简单 。 因 为 对 程序 员 来 说 ， 使 用 RPC 程序 包 后 ， 不 需要 了 

解 网 络 通 信 过 程 ， 编 写 网 络 程序 与 编写 本 地 程序 基本 上 没有 区 别 。 

口 由 于 RPC 程序 包 本 身 具 有 保证 可 靠 传输 的 机 制 ， 因 此 可 以 使 用 效率 更 高 的 不 可 靠 

协议 ， 如 UDP。 
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口 在 异 构 环 境 中 客户 机 和 服务 器 主机 如 果 数 据 存储 格式 不 同 ， 需 要 进行 编码 转换 ， 
RPC 程序 包 为 参数 和 返回 值 提供 了 所 需要 的 编码 转换 ， 程 序 员 无 需 考虑 这 方面 的 
问题 。 

对 于 工作 在 TCP 或 UDP 协议 上 的 RPC 程序 包 来 说 ， 向 客户 端 提供 RPC 服务 的 服务 

端 程序 也 要 使 用 一 个 网 络 端口 。 这 个 端口 的 端口 号 是 临时 的 ， 而 不 像 大 部 分 的 服务 ， 有 一 
个 默认 的 端口 号 。 这 就 需要 某 种 机 制 来 “注册 ”哪个 RPC 服务 端 程序 使 用 了 哪个 临时 端口 ， 
承担 这 个 “注册 ”任务 的 程序 也 称 为 端口 映射 器 。 

端口 映射 器 本 身 也 是 一 个 网 络 服 务 程序 , 要 为 客户 端 提供 哪个 RPC 服务 程序 对 应 哪个 

端口 的 信息 。 因 此 ， 它 自己 必须 要 有 一 个 默认 端口 ， 以 便 客户 端 能 与 它 联系 。 端 口 映射 器 
的 默认 端口 号 是 TCP 或 UDP111 号 ， 它 可 以 提供 以 下 4 种 服务 。 

口 PMAPPROC_SET: RPC 服务 器 启动 时 调用 该 服务 向 端口 映射 器 注册 要 使 用 的 端口 
号 等 内 容 。 

口 PMAPPROC UNSET: RPC 服务 器 调用 该 服务 取消 以 前 的 注册 。 

口 PMAPPROC _ GETPORT: RPC 客户 端 调 用 该 服务 , 查询 某 一 种 RPC 服务 所 注册 的 


端口 号 。 
口 PMAPPROC_DUMP: 调用 该 服务 时 ， 返 回 所 有 的 RPC 服务 器 及 其 注册 的 端口 号 
等 内 容 。 


端口 映射 器 和 RPC 服务 的 工作 流程 如 下 所 示 。 

(1) 一 般 情 况 下 ， 当 系统 启动 时 ， 端 口 映 射 器 首先 启动 ， 监 听 TCP 和 UDP 的 111 号 
端口 。 

(2) 当 RPC 服务 器 启动 时 , 为 其 所 支持 的 每 个 RPC 服务 程序 各 绑 定 一 个 TCP 和 UDP 
端口 ， 然 后 调用 端口 映射 器 的 PMAPPROC_SET 服务 ， 注 册 每 个 RPC 服务 程序 的 程序 号 、 
版 本 号 和 端口 号 等 内 容 。 

(3) RPC 客户 端 程序 启动 时 ， 通 过 111 号 端口 调用 端口 映射 器 的 PAAPPROC_ 
GETPORT 服务 ， 查 询 某 一 个 RPC 服务 程序 所 对 应 的 端口 号 。 

(4) RPC 客户 程序 与 查询 到 的 端口 号 联系 ， 调 用 对 应 的 RPC 服务 。 


18.1.3 NFS 协议 


大 部 分 的 网 络 协议 在 交换 数据 时 ， 服 务 器 和 客户 端 都 各 自 启 用 一 个 进程 ， 然 后 两 个 进 
程 通过 套 接口 等 方式 进行 通信 。 但 NFS 协议 并 不 是 采用 这 种 工作 方式 ， 它 是 一 个 建立 在 
Sun RPC 基础 上 的 客户 端 /服务 器 应 用 程序 ， 客 户 端 通过 向 一 台 NFS 服务 器 发 送 RPC 请 求 
来 访问 其 中 的 文件 。 这 种 方式 的 优点 是 客户 端 访问 一 个 NFS 文件 时 是 完全 透明 的 ,客户 端 
只 需 按 常 规 的 方法 向 本 机 的 操作 系统 提出 文件 使 用 请 求 。 还 有 一 个 优点 是 效率 比较 高 ， 因 
为 实现 通信 的 进程 是 位 于 操作 系统 内 核 的 。 因 此 ， 工 作 时 无 需 在 内 核 和 用 户 进程 之 间 进 行 
频繁 的 切换 。 如 图 18-2 所 示 是 NFS 客户 端 和 服务 器 的 典型 结构 。 

客户 端 程序 使 用 文件 时 ， 并 不 区 分 是 本 地 文件 还 是 NFS 文件 , 而 是 按 相 同 的 方式 向 操 
作 系 统 提 出 文件 使 用 请 求 。 操 作 系统 接 到 请 求 后 ， 要 判断 用 户 程序 所 请 求 的 文件 是 本 地 文 
件 还 是 NFS 文件 。 如 果 是 本 地 文件 ， 则 文件 被 打开 之 后 ， 内 核 将 其 所 有 的 引用 传递 给 名 为 
“本 地 文件 访问 ”的 结构 中 。 如 果 是 NFS 文件 ， 则 将 所 有 的 引用 传递 给 名 为 “NFS 客户 端 ” 
的 结构 中 。 
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用 户 进程 
人 让 oe SR ] 『 a ' 
' 1 | 本 地 文 | 1 
1 | “本 地 文 NFS 客 户 端 | | 林地 文 | | 
1 | 。 件 访问 1 1 | 服务 器 件 访 间 |， 
| | | | UDP 端口 ! 
| ! 1 2049 | 
1 1 1 ! 
| TCP/P ! ! TCP/IP | 
协议 栈 | | | 协议 栈 
1 客户 内 核 ! ! | 


本 地 磁盘 
图 18-2 NFS 客户 端 和 NFS 服务 器 的 典型 结构 


NFS 客户 端 上 的 操作 系统 通过 其 TCP/IP 协议 栈 向 NFS 服务 器 发 送 RPC 请 求 , 一 般 使 
用 的 是 UDP 协议 ， 也 可 以 使 用 TCP 协议 ， 默 认 的 服务 器 端口 是 2049。 服 务 端 操作 系统 内 
的 NFS 服务 器 平时 一 直 监 听 2049 端口 ， 当 收 到 一 个 NFS 客户 端 请 求 时 ， 它 将 这 个 请 求 传 
递 给 本 地 文件 访问 例 程 ， 通 过 它 访问 服务 器 主机 上 的 一 个 本 地 磁盘 文件 。 


全 注意 : 尽管 NFS 服务 器 可 以 使 用 一 个 临时 端口 ， 再 通过 端口 映射 器 告诉 客户 端 这 个 临 
时 端口 ， 但 是 大 多 数 的 实现 都 直接 指定 了 端口 2049。 


NFS 服务 器 处 理 一 个 客户 端的 请 求 和 访问 本 地 文件 系统 都 需要 花费 一 定 的 时 间 。 在 这 
段 时 间 内 ，NFS 服务 器 还 需要 响应 其 他 客户 端的 请 求 。 为 了 实现 这 一 功能 ， 大 多 数 的 NFS 
服务 器 都 是 采用 多 线程 的 方法 , 即 服务 器 操作 系统 内 核 中 实际 上 有 多 个 NFS 服务 器 在 NFS 
本 身 的 加 锁 管理 程序 中 运行 ， 共 体 的 实现 取决 于 不 同 的 操作 系统 。 由 于 大 多 数 的 UNIX 内 
核 不 是 多 线程 的 ， 一 种 通用 的 方法 是 启动 一 个 用 户 进程 〈 常 被 是 nfsd) 的 多 个 实例 ， 每 个 
实例 执行 一 个 系统 调用 ， 使 其 作为 一 个 内 核 进程 保留 在 操作 系统 的 内 核 中 。 

在 客户 端 主机 上 ，NFS 客户 端 也 需要 花费 一 定 的 时 间 来 处 理 用 户 进程 的 请 求 。NFS 客 
户 端 向 NFS 服务 器 主机 发 出 一 个 RPC 调用 ， 然 后 等 待 服务 器 的 回应 ， 这 也 需要 一 定 的 时 
间 。 为 了 给 用 户 进程 提供 更 多 的 并 发 性 ,在 客户 端的 操作 系统 内 核 中 一 般 也 运行 着 多 个 NFS 
客户 端 ， 具 体 的 实现 方法 也 取决 于 操作 系统 。 

在 客户 端 访问 NFS 服务 器 上 的 文件 之 前 , 操作 系统 必须 先 调用 安装 进程 安装 要 使 用 的 
NFS 文件 系统 ， 安 装 过 程 也 需要 一 种 安装 协议 。 一 般 情况 下 ，NFS 文件 系统 的 安装 是 由 客 
户 机 引导 时 向 NFS 服务 器 提出 请 求 ， 服务 器 响应 并 处 理 请 求 后 ,最 终 给 客户 端 返回 一 个 文 
件 句 柄 ， 以 后 客户 端 就 可 以 通过 这 个 文件 句柄 访问 NFS 服务 器 上 被 安装 的 文件 系统 了 。 

在 安装 过 程 中 , 还 要 用 到 NFS 服务 器 上 的 端口 映射 器 进程 。 因 为 服务 器 上 的 安装 守护 
进程 (mountd) 所 监听 的 端口 是 随机 的 ， 客 户 端 需要 通过 端口 映射 器 才能 知道 这 个 端口 ， 
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能 通过 这 个 端口 与 安装 守护 进程 联系 。NFS 协议 为 客户 端 提供 了 以 下 标准 的 RPC 调用 


口 


DOOOOOOODO 


GETATTR: 返回 一 个 文件 的 属性 ， 包 括 文件 类 型 、 访 问 权 限 、 文 件 大 小 、 文 件 主 
和 户 ， 以 及 上 次 修改 时 间 等 信息 。 

SETATTR: 设置 一 个 文件 的 属性 。 

STATFS: 返回 一 个 文件 系统 的 状态 ， 包 括 可 用 空间 、 最 佳 传送 大 小 等 信息 。 
LOOKUP: 查找 一 个 文件 。 当 用 户 进程 想 打开 NFS 服务 器 上 的 一 个 文件 时 ，NFS 
客户 需要 调用 该 过 程 以 查找 要 打开 的 文件 。 

READ: 从 一 个 文件 中 读 取 数据 。 客 户 端 调用 时 要 说 明文 件 的 句柄 、 读 操作 的 开始 
位 置 和 数据 的 多 少 (最 多 8192B) 。 

WRITE: 对 一 个 文件 进行 写 操作 。 客 户 端 调用 时 要 说 明文 件 的 句柄 、 开 始 位 置 、 
写 数 据 的 字 节 数 和 要 写 的 数据 内 容 。 

CREATE: 创建 一 个 文件 。 

REMOVE: 删除 一 个 文件 。 

RENAME: 重 命名 一 个 文件 。 

LINK: 为 一 个 文件 构建 一 个 硬 链 接 。 

SYMLINK: 为 一 个 文件 创建 一 个 符号 链接 。 

READLINK: 读 一 个 符号 链接 ， 即 返回 一 个 符号 链接 所 指 的 文件 的 名 字 。 
MKDIR: 创建 一 个 日 录 。 

RMDIR: 删除 一 个 目录 。 

READDIR: 读 取 一 个 目录 中 的 内 容 。 


全 注意 ' 上 述 过 程 实际 调用 时 名 称 前 面 都 需要 一 个 前 级 NFSPROC 。 


18.1.4 ”NFS 服务 的 安装 与 运行 


在 
下 命令 
# 
nf 
nf 
nf 
# 


IPB 
# 


其 
则 是 提 
发 行 版 


RHEL 6 系统 安装 完成 后 ，NFS 的 服务 器 和 客户 端 程序 默认 都 已 经 安装 。 可 以 用 以 
查看 NFS 服务 器 所 需 的 软件 包 是 否 已 经 安装 。 

rpm -qalgrep nfs 

s=-utils=1.2.3=26.e16.i686 

s=Uutils=1ib=1.1.5=-4.616.1686 

Ss4-acl-tools-0.3.3-6.e16.i686 

rpm -qalgrep rpcbind 

cbind-0.2.0-9.e16.i686 


中 ，nfs-utils-1.2.3-26.el6.i686 是 提供 NFS 服务 的 软件 包 ， 而 rpcbind-0.2.0-9.el6.i686 
供 端 口 映射 服务 的 工具 包 。 如 果 发 现 这 两 个 软件 包 没有 完全 安装 ， 可 以 在 RHEL 6 
的 安装 光盘 上 找到 对 应 的 RPM 包 文件 ， 再 用 rpm 命令 进行 安装 。 


rpcbind-0.2.0-9.e16.i686 软件 包 主 要 包含 /sbin/rpcbind 程序 文件 ， 它 称 为 RPC 端口 映射 


管理 器 


， 其 功能 是 管理 基于 RPC 服务 的 连接 ， 并 为 客户 端 提供 有 关 RPC 服务 的 查询 。 一 


般 Linux 启动 后 ， 都 会 自动 执行 该 文件 ， 可 以 用 以 下 命令 查看 : 


# ps -eaf|grep rpcbind 
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Epe 1657 0 AS 00:00:00 rpcbind 
root 20609 3035 0 16:14 pts/0 00:00:00 grep rpcbind 
# 


可 以 看 出 ，rpcbind 进程 是 以 rpc 用 户 身份 运行 的 ， 这 个 用 户 也 是 RHEL 6 系统 安装 时 
自动 创建 的 。 如 果 没 有 看 到 rpcbind 进程 ， 可 以 手动 输入 /sbin/ rpcbind 命令 运行 。rpcbind 
进程 默认 要 监听 TCP 和 UDP 的 111 号 端口 ， 当 客户 端 请 求 RPC 服务 时 ， 会 先 与 该 端口 联 
系 ， 询 问 所 请 求 的 RPC 服务 是 由 哪个 端口 提供 的 。rpcbind 从 111 号 端口 接 到 询问 后 ， 会 
将 其 所 管理 的 与 RPC 服务 相对 应 的 端口 号 提供 给 客户 端 , 从 而 使 客户 端 可 以 再 通过 该 端口 
向 RPC 服务 器 请 求 服务 。 可 以 通过 以 下 命令 查看 111 号 端口 是 否 已 经 处 于 监听 状态 : 

# netstat -anplgrep :111 


tcp 0 OO OO Os 0.0.0.0:* LISTEN1548/rpcbind 
udp 0 pr 0.0.0.0:* 1548/rpcbind 
# 


可 见 ，TCP 和 UDP 的 111 号 端口 均 已 经 由 protmap 进程 进行 监听 。 必 须 强 调 的 是 ， 
rpcbind 只 是 一 个 端口 映射 器 ， 真 正 提 供 NFS 服务 的 是 另外 两 个 守护 进程 : mpc.nfsd 和 
rpc.mountd。rpc.nfsd 是 基本 的 NFS 守护 进程 , 主要 功能 是 管理 客户 端 是 否 能 够 登入 服务 器 。 
rpc.mountd 是 安装 守护 进程 ， 主 要 功能 是 管理 NFS 的 文件 系统 ， 根 据 所 设 的 权限 决定 是 否 
允许 客户 端 安装 使 用 指定 的 目录 或 文件 。 

rpcnfsd 和 rpc.mountd 进程 都 是 由 nfs-utils-1.2.3-26.e16.i686 程序 包 提 供 的 ， 命 令 文件 
都 在 /usr/sbin 目录 中 。 可 以 通过 /etc/re.d/init.d/nfs 脚本 启动 NFS 服务 。 


# /etc/rc.d/init.d/nfs start 


启动 NFS 服务 : [确定 ] 
关 掉 NFS 配额 : [确定 ] 
启动 NFS 守护 进程 : [确定 ] 
启动 NFS mountd: [确定 ] 


# ps -eaf | grep nfs 

root 20738 人 00:00:00 [nfsd4] 

root 20739 2 0 EO 00:00:00 [nfsd4 callbacks] 
root 20740 2 0 Oe 00:00:00 [nfsd] 

root 20741 0 1 I ty 00:00:00 [nfsd] 


root 20747 1 dh ty By 00:00:00 [nfsd] 

root 20752. 3035 0 L617 pESXA0. 00:00:00 grep nfs 

# ps -eaf | grep mountd 

root 17714 L “0 L1926.3 00:00:00 rpc.mountd 
root 17738 6840 0 19:26 Pts/1 00:00:00 grep mountd 


以 上 列 出 的 进程 都 是 NFS 服务 器 的 组 成 部 分 。 其 中 ,nfsd 服务 使 用 的 是 2049 号 端口 ， 
rpc.mountd 服务 使 用 的 端口 如 下 所 示 。 它 不 是 固定 的 ， 进 程 每 次 启动 后 都 会 发 生变 化 。 

# netstat -anplgrep rpc.mountd 

七 cP 0 Dd 0000 933 0.0.0.0: 


udp 0 00.0.0.0:930 0.0.0.0: 
# 


由 于 与 NFS 服务 器 连接 时 ， 可 能 要 使 用 多 个 TCP 或 UDP 端口 。 因 此 ， 当 远程 客户 调 


NFS 服务 时 ， 如 果 有 防火 墙 ， 要 注意 开放 相应 的 端口 。 另 外 ， 也 可 以 使 用 rpcinfo 命令 
了 解 NFS 进程 与 端口 的 状态 ， 如 下 所 示 : 


LISTEN 17714/rpc.mountd 
17714/rpc.mountd 
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# rpcinfo -P 
program vers proto port service 


100000 4 tcp 111 portmapper 
100000 S30 te 111 portmapper 
100000 rr 111 portmapper 
100000 4 udp 111 portmapper 
100000 3 udp 111 portmapper 
100000 2 udp 111 portmapper 
100024 1 udp 50962 status 
100011 2°。¢tcp 875 rquotad 
100005 1 udp 40933 mountd 


100003 4 tcp 2049 nfs 
100227 2 tcp 2049 nfs acl 


100003 


4 udp 2049 nfs 
100227 2 udp 2049 nfs acl 
100021 3 tcp 58003 nlockmgr 
100021 4 tcp 58003 nlockmgr 


# 


以 上 列 出 了 服务 器 中 所 有 的 RPC 服务 进程 ， 第 1 列 是 程序 号 , 第 2 列 是 版 本 号 ， 第 3 
列 是 使 用 的 网 络 端口 号 ， 第 4 列 是 进程 的 名 称 。 


外 说 明 : 上 面 列 出 的 进程 除了 rpcbindper 和 status 进程 外 ， 其 他 都 是 与 NFS 服务 有 关 的 服 
务 进程 。 


18.1.5 ”NFS 服务 器 共享 目录 的 导出 


NFS 服务 器 成 功 启动 后 , 并 不 意味 着 客户 端 可 以 随意 访问 NFS 服务 器 所 在 主机 的 文件 
系统 。 需要 NFS 服务 器 通过 一 定 的 方法 导出 其 共享 目录 ,并 设置 一 定 的 访问 权限 后 客户 端 
才能 访问 。 导 出 共享 目录 有 两 种 方法 , 一 是 通过 设置 /etc/exports 文件 来 确定 ; 二 是 用 exports 
命令 来 增加 和 去 除 共享 目录 。 

/etc/exports 是 NFS 的 主要 配置 文件 ，NFS 服务 器 RPM 包 并 没有 提供 该 文件 的 初始 内 
容 ， 用户 要 根据 自己 的 需求 来 确定 。 当 NFS 服务 器 重新 启动 时 会 自动 读 取 /etc/exports 文件 
的 内 容 ， 然 后 根据 该 文件 的 内 容 确定 要 导出 的 文件 系统 及 相应 的 访问 权限 。/etc/exports 文 
件 的 配置 比较 简单 ， 每 一 行 表 示 一 个 导出 目录 ， 格 式 如 下 : 

目录 路 径 ”机 器 1 (选项 1, 选 项 2,...) 机 器 2( 选 项 1,option2,..-) 


以 上 格式 中 ,“ 目 录 路 径 ” 表 示 要 导出 的 共享 目录 ， 这 个 目录 下 的 子 目录 也 同时 导出 。 
为 了 安全 , 一 般 不 导出 根 目 录 。“ 机 器 ”表示 人 允许 访问 这 个 共享 目录 的 客户 机 ， 可 以 用 机 器 
名 、 域 名 或 IP 地 址 表示 。 每 一 台 机 器 还 包含 多 个 选项 ,这些 选项 指明 了 该 客户 机 访问 共享 
目录 时 ， 有 具体 有 哪些 权限 ， 选 项 之 间 用 “,” 分 隔 ,不 能 有 空格 。 常 见 的 选项 值 有 以 下 几 种 。 

口 ro: 客户 机 对 该 共享 目录 只 有 读 权 限 ， 这 是 默认 选项 。 

口 rw: 客户 机 对 该 共享 目录 有 读 写 权 限 。 

口 root squash: 客户 机 使 用 root 用 户 访问 该 共享 目录 时 , root 用 户 将 被 映射 成 服务 器 

上 的 匿名 用 户 〈 默 认 是 nobody 用 户 ) ， 这 是 默认 的 选项 。 
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口 no root squash: 客户 机 用 root 用 户 访问 该 共享 目录 时 ， 同 样 以 root 用 户 的 身份 访 
问 。 一 般 不 这 样 做 ， 只 在 客户 机 是 无 盘 工 作 站 等 特殊 情况 时 才 使 用 该 选项 。 

口 all_squash: 客户 机 上 的 任何 用 户 访问 该 共享 目录 时 都 映射 成 匿名 用 户 。 

口 anonuid: 指定 匿名 访问 用 户 的 ID。 

口 anongid: 指定 匿名 访问 用 户 的 组 ID。 

口 sync: 客户 端 把 数据 写 入 共享 目录 时 , 将 同时 写 入 到 服务 器 磁盘 中 , 这 是 默认 选项 。 

口 async: 客户 端 把 数据 写 入 共享 目录 时 , 将 先 暂 存 于 内 存 中 ,而 不 是 同时 写 入 磁盘 。 

口 insecure: 允许 客户 机 使 用 非 保 留 端口 与 服务 器 进行 连接 。 保 留 端口 是 小 于 1024 
的 端口 。 

下 面 是 一 个 具体 的 /etc/exports 文件 例子 : 

A trusty. (rw,no root squash) 

/projects *(ro) *.wzvtc.edul(rw,sync) 

/usr/ports 192.168.1.0/24 (ro) 

/home/abc pc001. (rw,all squash,anonuid=150,anongid=100) 

/pub *(ro,insecure,all_ squash) 


以 上 配置 中 ， 第 1 行 表示 在 名 为 trusty 的 客户 机 上 访问 NFS 服务 器 的 文件 系统 时 ， 每 
一 个 用 户 都 可 以 以 服务 器 上 同名 用 户 的 权限 对 根 目录 进行 操作 ， 包 括 root 用 户 。 这 项 设置 
应 该 要 非常 小 心 ， 只 有 在 充分 信任 这 人 台 客 户 机 的 情况 下 才能 如 此 设置 。 第 2 行 表示 所 有 客 
户 机 都 可 以 以 只 读 的 权限 访问 /projects 目录 , 位 于 wzvtc.edu 域 的 主机 访问 该 目录 时 有 读 写 
权限 ， 并 且 同 步 写 入 数据 。 第 3 行 表示 设置 共享 目录 /usr/ports， 但 限制 为 只 允许 读 取 ， 并 
且 子 网 192.168.1.0/24 中 的 计算 机 才能 访问 这 个 共享 目录 。 

第 4 行 设置 了 一 个 典型 的 PC 用 户 ，pc001 客户 机 上 所 有 的 用 户 都 可 以 读 写 home/abc， 
并 且 所 有 的 用 户 都 以 UID 为 150, GID 为 100 的 权限 访问 /home/abc 目录 。 第 5 行 设置 了 类 
似 于 FTP 匿名 用 户 的 功能 ， 所 有 的 用 户 都 能 自由 访问 /pub 目录 ， 而 且 都 是 映射 为 nobody 
用 户 。 

/etc/exports 文件 内 容 修改 后 ， 需 要 重启 NFS 服务 器 进程 才能 生效 。 另 一 种 使 之 生效 的 
办 法 是 执行 exportfs 命令 。 实 际 上 ，NFS 服务 器 启动 的 时 候 都 要 调用 该 命令 ， 以 便 能 根据 
/etc/exports 的 内 容 导 出 文件 系统 。 不 带 任何 参数 的 exportfs 命令 将 显示 /var/lib/nfs/etab 文件 
的 内 容 ， 而 该 文件 包含 着 当前 正 被 导出 的 目录 。exportfs 命令 可 用 的 选项 及 功能 如 下 所 示 : 
-a: 导出 所 有 列 在 /etc/exports 文件 中 的 目录 。 

-v: 输出 每 一 个 被 导出 或 取消 导出 的 目录 。 

-r: 重新 导出 所 有 列 在 /etc/exports 文件 中 的 目录 。 

-u: 取消 指定 目录 的 导出 。 与 -a 同时 使 用 时 ,取消 所 有 列 在 /etc/exports 文件 中 的 目 

录 的 导出 。 

口 -i: 允许 导出 没有 在 /etc/exports 文件 中 列 出 的 目录 或 者 不 按 /etc/exports 文件 所 列 的 
选项 导出 。 

口 -f: 指定 另 一 个 文件 来 代替 /etc/exports。 

口 -o: 指定 导出 目录 的 选项 。 

下 面 是 exportfs 命令 的 几 个 例子 ， 首 先 在 /etc/exports 文件 中 输入 以 下 内 容 : 

# more /etc/exports 


DOODO 
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/projects # (IO) *.wzvtc.edu(rw,sync) 
/home/abc Pc001. (rw,all squash,anonuid=150,anongid=100) 
/pub *(ro,insecure,all squash) 


接着 再 执行 下 面 的 一 系列 命令 ,命令 的 功能 见 注释 : 


# exportfs -r -v # 重新 导出 列 在 /etc/exports 文件 中 的 目录 ,使 /etc/exports 生效 
exporting pc001: /home/abc 

exporting *.wzvtc.edu:/projects 

exporting *:/projects 

exporting *:/pub 

# exportfs -u *:/pub # 取消 /etc/exports 文件 中 所 列 的 /pub 目录 的 导出 

# exportfs -v *:/pub # 重新 导出 /pub 目录 

exporting *:/pub 

# exportfs -v 


/home/abc Pc001 (rw,wdelay, root squash,all squash,no_ subtree check, 
anonuid=150,anongid=100) 

/projects *.WZzvtc.edu(rw,wdelay, root squash,no_subtree check, 
anonuid=65534,anongid=65534) 

/projects <world> (ro,wdelay, root squash,no_subtree check,anonuid= 
65534,anongid=65534) 

/pub 


<world> (ro,wdelay,insecure,root squash,all squash,no subtree check,anon 

uid=65534,anongid=65534) 

# exportfs -i *:/lintf -o ro -Vv# 以 只 读 方 式 导出 未 在 /etc/exports 文件 中 列 
出 的 /1intf 目录 给 所 有 客户 机 


exporting *:/lintf 


# exportfs -v # 查看 一 下 目前 目录 的 导出 情况 

/home/abc Pc001.wzy.edu.cn (rw,wdelay,root squash,all squash,no 
subtree check,anonuid=150,anongid=100) 

/projects *.WZzvtc.edu(rw,wdelay, root_ squash,no_subtree check, 
anonuid=65534,anongid=65534) 

/projects <world> (ro,wdelay,root squash,no subtree check,anonuid= 
65534,anongid=65534) 

/iint£ <world> (ro,wdelay,root squash,no subtree check,anonuid= 


65534,anongid=65534) 
/pub <world>(ro,wdelay,insecure,root squash,all squash,no subtree 
check,anonuid=65534,anongid=65534) 


最 后 查看 一 下 /var/lib/nfs/etab 文件 ， 其 中 保存 了 所 有 当前 导出 目录 的 详细 情况 : 


# more /var/lib/nfs/etab 

/home/abc pc001.wzy.edu.cn (rw,sync,wdelay,hide,nocrossmnt, secure, root 
squash,all _ squash,no_subtree check,secure locks,acl,mapping=identity, 
anonuid=150,anongid=100) 

/projects *.wzvtc.edul(rw,sync,wdelay,hide,nocrossmnt, secure, root_squash, 
no all _ squash,no_subtree check, secure locks,acl,mapping=identity,anonuid= 
65534,anongid=65534) 

/projects *(ro,sync,wdelay,hide,nocrossmnt,secure,root squash,no all_ 
squash,no_subtree check, secure locks,acl,mapping=identity,anonuid=65534, 
anongid=65534) 

/lintf *(ro,sync,wdelay,hide,nocrossmnt,secure,root squash,no all_ 
squash,no_subtree_ check, secure locks,acl,mapping=identity,anonuid=65534, 
anongid=65534) 

/pub *(ro,sync,wdelay,hide,nocrossmnt, insecure,root_ squash,all squash, 
no subtree check,secure locks,acl,mapping=identity,anonuid=65534,anongi 
d=65534) 

# 
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可 见 ， 该 文件 中 的 内 容 与 “exportfs -v” 命 令 的 输出 是 一 致 的 。 
18.1.6 ”客户 端 使 用 NFS 服务 


NFS 服务 器 正常 运行 并 导出 共享 目录 后 ， 网 络 中 的 客户 机 在 具有 访问 权限 的 前 提 下 ， 
就 可 以 访问 NFS 服务 器 上 的 共享 目录 了 。 客 户 端 有 关 使 用 NFS 服务 的 命令 主要 有 两 条 。 
一 条 是 showmount， 通 过 它 可 以 查看 有 关 NFS 服务 器 的 信息 ; 另 一 条 是 mount， 通 过 它 ， 
可 以 把 NFS 服务 器 导出 的 共享 目录 挂 载 到 本 地 文件 系统 的 某 一 个 目录 中 , 以 后 就 可 以 以 访 
问 本 地 文件 系统 的 形式 访问 远程 目录 。 

当 执 行 showmount 命令 时 ， 如 果 后 面 跟 一 个 NFS 服务 器 的 名 称 或 卫 地 址 ， 则 可 以 与 
NFS 服务 器 上 的 mount 进程 进行 通信 ， 了 解 NFS 服务 器 的 状态 信息 。 如 果 没 有 跟 NFS 服 
务 器 的 名 称 或 IP 地 址 ， 则 默认 查询 本 机 的 NFS 状态 信息 ， 列 出 所 有 使 用 本 机 共享 目录 的 
客户 机 ， 此 时 应 该 在 NFS 服务 器 上 执行 。 此 外 ，showmount 还 有 以 下 一 些 选项 : 

口 -a: 以 “主机 :目录 ”的 形式 列 出 NFS 服务 器 共享 目录 的 使 用 情况 。 

-d: 仅仅 列 出 NFS 服务 器 被 使 用 的 共享 目录 。 
-e: 显示 NFS 服务 器 导出 的 所 有 共享 目录 。 
-h: 显示 帮助 信息 。 

-Vs 显示 版 本 导 。 

mount 命令 用 于 把 其 他 文件 系统 挂 载 到 本 地 文件 系统 的 一 个 目录 中 。 例 如 ， 软 盘 、 光 
盘 上 的 文件 系统 都 可 以 通过 它 进行 挂 载 ， 它 也 可 以 用 来 挂 载 远程 的 NFS 文件 系统 。mount 
命令 的 格式 如 下 : 


mount [-t vfstype] [-o options] device dir 


-t 选项 指定 要 挂 载 的 文件 系统 类 型 ,对 于 NFS 文件 系统 来 说 ,vfstype 的 值 是 nfs。device 
指 设备 名 称 ， 对 于 NFS 远程 文件 系统 来 说 ， 其 表示 方法 应 该 是 “主机 :目录 ”的 形式 。dir 
指 NFS 文件 系统 要 安装 到 本 地 文件 系统 的 哪 一 个 目录 。 


全 注意 ; 如 果 dir 目录 本 身 有 内 容 ， 则 挂 载 后 这 些 内 容 将 会 变 成 不 可 见 的 ， 但 不 会 删除 ， 
却 载 NFS 文件 系统 后 会 重新 出 现 。 


-0 指出 了 有 关 文 件 系统 的 选项 , 这 类 选项 非常 多 ,下面 只 列 出 与 NFS 挂 载 有 关 的 选项 : 
rsize=n: 从 NFS 服务 器 读 取 文件 时 每 次 使 用 的 字 节 数 ， 默 认 值 是 1024B。 
wsize=n: 向 NFS 服务 器 写 文件 时 每 次 使 用 的 字 节 数 ， 默 认 值 是 1024B 。 

timeo=n: RPC 调用 超时 后 ， 确 定 一 种 重 试 算法 的 参数 。 

retry=n: 确定 放弃 挂 载 操作 前 重 试 的 时 间 ， 以 分 (min) 为 单位 。 

soft: 软 挂 载 方式 ， 当 客户 端 请 求 得 不 到 回应 时 ， 提 示 IO 出 错 并 退出 。 

hard: 硬 挂 载 方式 ， 当 客户 端 请 求 得 不 到 回应 时 ， 提 示 服 务 器 没 响应 ,并 一 直 请 求 ， 
是 默认 值 。 

口 intr: NFS 文件 操作 超时 并 且 是 硬 挂 载 时 ， 人 允许 中 断 文 件 操 作 和 向 调用 它 的 程序 返 
回 EINTR。 

口 ro: 以 只 读 方 式 挂 载 NFS 文件 系统 。 

口 rw: 以 读 写 方式 挂 载 NFS 文件 系统 。 


口 
口 
口 
口 


OOOODODDO 
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口 tcp: 对 文件 系统 的 挂 载 使 用 TCP， 而 不 是 默认 的 UDP。 
下 面 看 几 个 客户 端 使 用 NFS 服务 的 例子 ,是 在 作为 NFS 客户 端的 下 地 址 为 10.10.1.253 
的 主机 上 执行 的 : 


# showmount -e 10.10.1.29 // 查 看 一 下 NFS 服务 器 10.10.1.29 上 导出 的 共享 目录 
Export list for 10.10:1.29; 


/pub 本 // 表 示 所 有 的 主机 均 可 挂 载 /pub 

/projects (everyone) // 所 有 主机 的 所 有 用 户 均 可 以 挂 载 /projects (导出 时 使 用 
// 了 all_squash 选项 ) 

/home OLO L253 // 只 有 10.10.1.253 可 以 挂 载 /home 

/usr/ports 192.168.1.0/24  // 子 网 192.168.1.0/24 上 的 客户 机 可 以 挂 载 /usr/ports 

/home/abc pc001 // 在 客户 机 pc001 上 可 以 挂 载 /home/abc 


# mount -t nfs 10.10.1.29:/home /mnt  // 把 NFS 服务 器 10.10.1.29 的 /home 目录 
// 挂 载 在 /mnt 目录 


# cd /mnt 

[root@radius mnt]# 1s -1 // 查 看 /mnt 目录 的 内 容 ， 此 时 看 到 的 是 NFS 
// 服 务 器 上 的 /home 目录 的 内 容 

总 用 量 40 

GEWR==X= 一 区 8 abc abc 4096 12 月 7 06:30 abc 

drwx------ 3 os os 4096 11 月 9 18:37 ftpsite 

2 VL 4096 11 月 8 QS5ls50 Ente 

二 二 二 一 2 30033003 4096 12 月 9 07:56 05 

drwx--X-—x 3 myftp myftp 4096 11 月 21 22531 test 


[root@radius mnt]# 


NFS 服务 器 共享 目录 被 客户 机 挂 载 后 ， 服 务 器 文件 系统 中 的 各 种 文件 、 目 录 所 属 的 用 
户 和 用 户 组 的 UID 和 GID 不 变 。 挂 到 客户 机 文件 系统 后 ， 这 些 UID 和 GID 要 映射 成 客户 
机 上 的 用 户 名 和 用 户 组 名 。 如 上 例 所 示 ， 用 “ls -1” 列 出 /mnt 目录 内 容 时 ，os 目录 原来 所 
属 的 UID 和 GID 都 是 3003， 但 到 了 客户 机 后 ， 客 户 机 上 没有 UID 和 GID 为 3003 的 用 户 
和 用 户 组 ， 因 此 直接 以 3003 显示 。 其 他 UID 和 GID 在 客户 机 上 找到 了 对 应 的 用 户 ， 因 此 
会 以 用 户 名 和 组 名 的 形式 显示 。 实 际 上 ， 客 户 机 上 显示 的 这 些 用 户 名 和 组 名 与 服务 器 上 真 
实 的 用 户 名 和 组 名 完全 可 能 是 不 一 致 的 。 可 以 通过 以 下 方法 查看 NFS 服务 器 的 /home 的 内 
容 〈 以 下 例子 是 在 NFS 服务 器 10.10.1.29 上 执行 的 ): 


# showmount -a // 显 示 本 机 导出 的 共享 目录 被 挂 载 的 情况 


All mount points on localhost.localdomain: 


10.10.1.253:/home // 表 示 客 户 机 10 .10.1.253 挂 载 了 本 机 的 /home 目录 
# 1s -1 /home // 查 看 一 下 /home 目录 的 内 容 总 计 40 

drwx--x--x 8 abc abc 4096 12-07 06:30 abc 

FS 人 4096 11-09 18:37 ftpsite 
二 2 mE intE 4096 11-08 05:58, lintf 

WE 一 = 一 = 一 一 2 os os 4096 12-09 07:56 os 
WR test J 2 os 


对 照 在 NFS 服务 器 上 看 到 的 /home 目录 内 容 与 在 客户 机 上 看 到 的 /mnt 内 容 可 以 发 现 ， 
两 者 虽然 是 同一 个 目录 , 但 看 到 的 每 个 子 目 录 所 属 的 用 户 名 和 用 户 组 名 是 不 一 致 的 。 例如 ， 
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test 目录 在 服务 器 上 所 属 的 用 户 是 test， 但 到 了 客户 机 时 ， 所 属 的 用 户 变 成 了 myftp， 这 是 
因为 这 两 个 用 户 在 各 自 操作 系统 里 的 UID 是 一 样 的 。 但 两 台 计 算 机 上 看 到 的 abc 目录 其 所 
属 用 户 是 一 样 的 ， 这 是 因为 正好 这 两 台 计 算 机 上 都 有 abc 用 户 , 而 且 UID 也 是 一 样 的 。 还 
有 ， 在 客户 机 上 看 到 的 UID3003 在 服务 器 上 查看 时 变 成 了 os， 原因 上 面 已 经 解释 。 

另外 ， 客 户 机 上 的 root 用 户 在 /mnt 上 操作 时 ， 并 不 具有 root 权限 ， 而 是 映射 成 NFS 
服务 器 的 nobody 用 户 的 权限 进行 操作 的 -如果 NFS 服务 器 导出 /home 时 加 了 no_root squash 
选项 ， 则 会 以 root 用 户 的 权限 在 /mnt 中 操作 。 

如 果 客 户 机 安装 了 共享 目录 后 , 希望 以 NFS 服务 器 上 某 个 用 户 的 权限 进行 操作 ， 则 在 
客户 机 上 也 要 以 与 那个 用 户 有 相同 ID 的 用 户 身份 来 安装 文件 系统 。 例 如 ， 以 上 例子 中 ， 
NFS 服务 器 上 的 abc 用 户 与 客户 机 上 的 abc 用 户 相 同 ， 则 当 客 户 机 上 以 abc 用 户 身份 安装 
共享 文件 系统 时 ， 对 该 文件 系统 的 操作 权限 与 服务 器 上 的 abc 用 户 相 同 。 同 样 道理 ， 客 户 
机 上 的 myftp 用 户 与 服务 器 上 的 test 用 户 权 限 相 同 ， 因 为 二 者 的 UID 一 样 。 

下 面 在 客户 机 上 以 abc 用 户 的 身份 安装 NFS 服务 器 的 /home 共享 目录 。 默 认 情况 下 ， 
mount 命令 只 能 由 root 用户 执 行 ， 但 普通 用 户 可 以 通过 sudo 命令 调用 。 为 了 使 abc 用 户 可 
以 使 用 sudo 命令 ， 需 要 授予 相应 的 权限 ， 具 体 方法 是 由 root 用 户 输入 visudo 命令 ， 然 后 
在 出 现 的 vi 编辑 器 的 合适 位 置 中 加 入 以 下 一 行 ， 表 示 授 予 abc 用 户 执行 sudo 命令 的 权限 : 


abc ALL=(ALL) ALL 


然后 客户 机 上 的 abc 用 户 就 可 以 通过 sudo 调用 mount 命令 挂 载 NFS 服务 器 导出 的 共 
享 文件 系统 了 ， 具 体 过 程 如 下 所 示 : 


| 
# umount /mnt // root 用 户 首先 卸载 刚才 安装 在 /mnt 的 文件 系统 
# su abc // 转 换 成 abc 用 户 身份 
$ sudo mount -t nfs 10.10.1.29:/home /mnt 

//abc 用 户 通过 sudo 命令 调用 mount 命令 
Password: // 此 处 输入 abc 用 户 的 密码 
$ cd /mnt 
[abc@radius mnt]$ 1s -1 // 与 上 面 由 root 用 户 挂 载 时 看 到 的 情况 一 样 
总 用 量 40 
ArWX—=X== 让 8 abc abc 4096 12 月 7 06:30 abc 
GEWX== 一 = 一 一 3 os os 4096 11 月 9 18:37 ftpsite 
drwx------ 2 ul 4096 11 月 8 05:58 lintf 
dFWE—===== 2 3003 3003 4096 12 月 9 07:56 os 


drwx--xX--X 3 myftp myftp 4096 11 月 21 22:31 test 
abc@radius mnt]$ cd abc 

abceradius abc]$ 1s // 可 以 查看 abc 目录 的 内 容 
courier-authlib-0.58 courier-imap-4.0.4 mail 
courier-authlib-0.58.tar courier-imap-4.0.4.tar public html 
abc@radius abc]$ mkdir dood 

abceradius abc]$ 1s // 可 以 创建 子 目 录 , 表明 具有 写 权 限 
courier-authlib-0.58 courier-imap-4.0.4 dood public html 
courier-authlib-0.58.tar courier-imap-4.0.4.tar mail 


abceradius abc]$sudo umount /mnt // 扼 载 安 装 在 /mnt 中 的 文件 系统 


其 他 用 户 也 可 以 通过 类 似 的 方法 安装 共享 文件 系统 ， 以 与 NFS 服务 器 同样 UID 的 用 
户 身份 进行 操作 。 
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全 注意 ! 如 果 NFS 服务 器 是 以 只 读 方式 导出 共享 目录 的 ， 则 即使 挂 载 的 用 户 有 写 权 限 ， 
也 不 能 进行 写 操作 。 


18.1.7 自动 挂 载 NFS 文件 系统 


18.1.6 节 讲 述 了 客户 端 通过 mount 命令 挂 载 NFS 服务 器 导出 的 共享 目录 。 实 际 上 ， 除 
了 使 用 mount 命令 外 ， 还 可 以 通过 /etc/fstab 文件 自动 挂 载 文件 系统 。/etc/fstab 是 由 内 核 支 
持 的 配置 文件 ， 决 定 了 操作 系统 引导 成 功 后 自动 挂 载 哪些 文件 系统 。NFS 用 户 可 以 把 需要 
自动 挂 载 的 远程 文件 系统 配置 在 该 文件 中 , 则 Linux 引导 时 会 自动 挂 载 指定 的 NFS 远程 文 
件 系统 。/etc/fstab 文件 的 每 一 行 指定 挂 载 一 种 文件 系统 ， 其 格式 如 下 所 示 : 

< 文件 系统 位 置 > < 挂 载 点 > < 类 型 > < 选项 > 


对 于 NFS 文件 系统 来 说 ,“ 类 型 ”应 该 是 nfs， 而 “文件 系统 位 置 ”的 表示 方法 应 该 是 
“主机 :目录 ”的 形式 ， 表 示 某 一 台 NFS 服务 器 主机 上 所 导出 的 共享 目录 。“ 选 项 ”的 内 容 
与 mount 命令 基本 上 一 样 ， 可 以 参见 18.1.6 节 。 下 面 的 一 行 放 入 /etc/fstab 文件 后 ， 将 会 在 
Linux 引导 时 ， 将 NFS 服务 器 10.10.1.29 导出 的 共享 目录 /home 按 指定 的 选项 自动 挂 载 到 
/mnt 目录 : 


10.10.1.29:/home /mt nfs rsize=8192,wsize=8192,timeo=14,intr 


/etc/fstab 文件 中 指定 的 文件 系统 除了 在 系统 引导 时 会 被 挂 载 外 ， 还 可 以 由 root 用 户 执 
行 “mount -a” 命 令 马 上 进行 挂 载 。 默 认 情 况 下，/etc/fstab 中 指明 的 文件 系统 只 能 由 root 
用 户 安装 ， 但 如 果 在 选项 中 指定 了 user， 则 也 可 以 由 普通 用 户 进 安 装 。 

除了 使 用 /etc/fstab 文件 外 ，Linux 还 可 以 使 用 automount 进程 来 管理 文件 系统 的 挂 载 ， 
它 的 特点 是 只 有 在 文件 系统 被 访问 时 才 动 态 地 挂 载 。automount 是 由 autofs-5.0.5-54.e16.i686 
软件 包 提供 的 功能 ， 一 般 安装 Linux 系统 时 ， 该 软件 包 已 经 默认 安装 。 如 果 automount 进 
程 还 没有 启动 ， 可 以 使 用 以 下 命令 启动 automount 进程 


# /etc/rc.d/init.d/autofs start 


启动 automount [确定 ] 

# ps -eaflgrep automount 

root 2886 1 0 Nov22 ? 00:00:33 automount 

root 6857 6840 0 22:25 pts/1 00:00:00 grep automount 
# 


autofs 的 主 配置 文件 是 /etc/auto.master。 每 一 行 都 定义 一 个 挂 载 点 ， 包 含 3 个 字段 ， 第 
1 个 字段 指定 挂 载 点 ， 第 2 个 字段 是 该 挂 载 点 的 映射 文件 位 置 ， 第 3 个 字段 可 选 ， 指 定 了 
一 些 挂 载 选项 。 例 如 ， 下 面 一 行 指 定 了 挂 载 点 /mnt 及 其 对 应 的 映射 文件 /etc/auto.mnt: 


/mt /etc/auto.mnt 


/etc/auto.master 中 只 是 定义 了 挂 载 点 与 映射 文件 的 联系 ， 至 于 挂 载 点 下 要 挂 载 哪些 文 
件 系统 、 每 个 文件 系统 挂 载 时 的 选项 等 内 容 ， 则 由 映射 文件 来 定义 。 映 射 文件 的 格式 如 下 : 


< 挂 载 名 称 > < 选项 > < 文件 系统 位 置 > 
“ 挂 载 名 称 ” 是 由 用 户 命名 的 任意 一 个 字符 串 ， 以 后 文件 系统 挂 载 时 ， 要 在 
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/etc/auto.master 中 定义 的 “ 挂 载 点 ”下 出 现 该 名 称 的 子 目录 ， 里 面 就 是 所 挂 载 的 文件 系统 。 
“选项 ”指定 了 挂 载 文件 系统 时 的 一 些 特性 ， 内 容 与 /etc/exports 文件 中 的 选项 类 似 。 对 于 
NFS 文件 系统 来 说 ,“ 文 件 系统 位 置 ” 的 表示 方法 应 该 是 “主机 :目录 ”的 形式 。 下 面 是 映 
射 文件 内 容 的 一 个 例子 : 


home -rw,soft,intr,rsize=8192,wsize=8192 10.10.1.29:/home 


如 果 把 上 面 这 一 行 放 到 前 面 定 义 的 /etclauto.mnt 文件 中 ， 则 表示 要 将 NFS 服务 器 
10.10.1.29 导出 的 共享 目录 /home 以 指定 的 选项 挂 载 到 /mnthome 下 ， 而 且 这 种 挂 载 不 是 马 
上 进行 的 ， 只 有 使 用 /mnt/home 目录 中 的 文件 时 ， 才 会 自动 挂 载 。 


全 注意 : 可 以 在 /etc/auto.mnt 文件 中 输入 多 行内 容 ， 定 义 多 个 挂 载 名 称 ， 这 些 文件 系统 在 
需要 时 都 会 以 挂 载 名 称 为 子 目 录 的 形式 挂 载 到 /mnt 目录 。 


18.2 Samba 服务 的 安装 、 运 行 与 配置 

历史 上 ， 安 装 UNIX 类 操作 系统 的 主机 相互 之 间 共 享 文件 系统 时 使 用 的 是 NFS 协议 ， 
而 Windows 类 的 操作 系统 使 用 SMB 协议 来 共享 文件 系统 。 后 来 ， 以 开源 项 目 Samba 为 代 
表 的 许多 服务 器 软件 在 UNIX 类 操作 系统 下 实现 了 SMB 协议 ， 使 得 UNIX 和 Windows 操 
作 系 统 之 间 的 文件 共享 也 可 以 畅通 无 阻 。 下 面 先 介 绍 SMB 协议 ， 再 介绍 Samba 软件 包 在 
Linux 下 的 安装 运行 、 配 置 使 用 等 内 容 。 


18.2.1 SMB 协议 概述 


SMB (Server Message Block， 服 务 器 消息 块 ) 是 基于 NetBIOS 的 一 套 文件 共享 协议 ， 
它 由 Microsoft 公司 制订 ， 用 于 Lan Manager 和 Windows NT 服务 器 系统 中 ， 实 现 不 同 计算 
机 之 间 共 享 打印 机 、 串 行 口 和 通信 抽象 。 随 着 Internet 的 流行 ，Microsoft 公司 希望 将 这 个 
协议 扩展 到 Intemet 上 去 ， 因 此 将 原 有 关于 SMB 协议 的 文档 进行 整理 规范 ， 重 新 命名 为 
CIFS (Common Internet File System， 公 共 互 联网 文件 系统 )， 并 致力 于 使 它 成 为 Internet 
上 计算 机 之 间 相 互 共享 数据 的 一 种 标准 。SMB 协议 在 网 络 协议 层 中 的 位 置 如 图 18-3 所 示 。 


OSI TCP/IP 
Application 
| - SMB a 
Pressentation Application 
Session NetBIOS | NetBIOS NetBIOS | 
Transport IPX NetBEUI DECnet TCP&UDP TCP/UDP 
Network IP IP 
802.2 802.2 Ethernet or 
Link E 3 
802.3, 802.5 | 8073.8075 | Ethemet v” | Entemet V2 | others 
Physical 


图 18-3 SMB 协议 在 网 络 协议 层 中 的 位 置 


由 图 18-3 可 以 看 出 , SMB 协议 是 建立 在 NetBIOS 协议 基础 上 的 , 在 TCP 网 络 模型 中 ， 
它 和 NetBIOS 协议 都 属于 应 用 层 。 但 在 ISO/OSI 模型 中 ,NetBIOS 属于 会 话 层 协 议 ,而 SMB 
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属于 表示 层 和 应 用 层 协议 。 由 于 NetBIOS 或 者 它 的 扩展 NetBEUI 可 以 工作 在 IPX、DECnet 
等 网 络 ， 因 此 SMB 也 可 以 在 这 些 网 络 工作 ， 使 这 些 网 络 和 Windows 之 间 也 能 实现 文件 共 
享 。SMB 协议 的 具体 工作 过 程 如 图 18-4 所 示 。 SMB negprot 请 求 数据 报 

(1) SMB 客户 端 向 服务 器 发 送 一 个 SMB negprot i 辐 
请 求 数 据 包 ， 其 中 列 出 它 所 支持 的 所 有 SMB 协议 版 
本 。 服 务 器 收 到 请 求 数据 包 后 予以 响应 ， 列 出 了 它 希 
望 使 用 的 协议 版 本 。 如 果 服 务 器 没有 可 使 用 的 2 SesssetupX 请 求 数据 报 四 


协议 版 本 ， 则 响应 值 为 0XFFFFH 的 数据 ， 表 示 结 束 
通信 。 

(2) 确定 了 协议 以 后 ，SMB 客户 端 进程 接着 向 服 
务 器 发 起 用 户 或 共享 的 认证 ， 这 个 过 程 是 通过 发 送 ST 了 
SesssetupX 请 求 数据 包 实 现 的 。 客 户 端 发 送 用 户 名 / 密 < 
码 或 者 只 是 密码 到 服务 器 ， 服 务 器 进行 认证 后 ， 根 据 
认证 结果 返回 一 个 SesssetupX 应 答 数据 报 ， 告 诉 客户 
端 是 接受 还 是 拒绝 请 求 。 图 18-4 ”SMB 协议 的 工作 流程 

(3) 客户 端 如 果 顺 利 完成 了 和 服务 器 的 协商 和 认证 ， 接 着 就 会 发 送 一 个 TconX 请 求 数 
据 包 ， 其 中 包含 它 想 访 问 的 共享 资源 的 名 称 。 服 务 器 接受 该 数据 包 后 ， 根 据 情 况 返 回 一 个 
TconX 应 答 数据 包 ， 告 诉 客户 端 这 个 请 求 是 被 接受 还 是 拒绝 。 

(4) 如 果 服 务 器 接受 了 客户 端的 共享 资源 访问 请 求 ，SMB 客户 端 就 能 通过 open 命令 
打开 一 个 文件 ， 通 过 read 命令 读 取 文 件 ， 通 过 write 命令 写 入 文件 ， 通 过 close 命令 关闭 
文件 。 


外 说 明 :以 上 过 程 是 在 NetBIOS 会 话 建立 后 进行 的 .还 有 一 种 版 本 的 SMB 可 以 直接 在 TCP 
连接 上 进行 以 上 的 过 程 ， 也 就 是 直接 在 TCP 协议 上 实现 了 SMB 协议 。 


SMB SesssetupX 响 应 数据 报 


18.2.2 NetBIOS 协议 


NetBIOS (Network Base Input/Output System， 网 络 基本 输入 /输出 系统 ) 最 初 是 由 IBM 
公司 开发 的 一 种 网 络 应 用 程序 编程 接口 (API), 为 程序 提供 了 请 求 网 络 服务 的 统一 命令 集 。 
NetBIOS 是 一 种 会 话 层 协议 , 应 用 于 各 种 局 域 网 (Ethernet、Token Ring 等 ) 和 诸如 TCP/IP、 
PPP 和 X.25 等 广域网 环境 。 

NetBIOS 初始 的 设计 目标 是 为 一 个 小 网 络 中 的 几 十 台 计 算 机 提供 相互 通信 时 的 接口 ， 
虽然 有 关 这 个 协议 的 公开 资料 很 少 , 但 它 的 API 却 成 为 了 事实 上 的 标准 。 随 着 PC-Network 
被 令 牌 环 和 以 太 网 取代 ，NetBIOS 按 道理 也 应 该 同时 失去 使 用 价值 。 但 是 ， 由 于 很 多 的 网 
络 应 用 软件 使 用 了 NetBIOS 的 API, 为 了 保留 这 部 分 软件 资源 ， 人 们 把 NetBIOS 移植 到 了 
其 他 各 种 协议 上 ， 例 如 IPX/SPX 和 TCP/IP， 以 及 直接 使 用 令 牌 环 和 以 太 网 的 NetBEUI。 

在 TCP/IP 上 运行 的 NetBIOS 也 称 为 NBT， 由 RFC 1001 和 RFC 1002 定义 ，NBT 的 出 
现 具有 重大 的 意义 , 因为 这 就 意味 着 NetBIOS 可 以 在 飞速 发 展 的 Internet 上 使 用 了 。 相应 地 ， 
很 多 基于 NetBIOS 的 应 用 程序 也 可 以 在 Intermet 上 工作 了 .Windows 2000 中 首次 使 用 了 NBT， 
是 目前 首选 的 NetBIOS 传输 。 不 管 工作 在 哪 种 协议 之 上 ，NetBIOS 都 提供 以 下 3 种 服务 。 


“430。 


第 18 章 ”共享 文件 系统 


口 名 称 服务 : 提供 名 称 注册 和 解析 功能 。 

口 会 话 服务 : 提供 基于 连接 的 可 靠 通信 。 

口 数据 包 服 务 : 提供 基于 无 连接 的 不 可 靠 通信 。 

NetBIOS 名 称 用 来 在 网 络 上 鉴别 资源 ， 为 了 开始 会 话 或 数据 包 服务 ， 一 个 应 用 必须 首 
先 使 用 名 称 服务 注册 它 的 NetBIOS 名 称 , NetBIOS 名 称 规定 是 一 个 16B 长 的 字符 串 ， 有 些 
实现 对 这 个 字符 串 有 特殊 规定 。 在 NBT 协议 中 ， 名 称 服 务工 作 在 UDP 137 号 端口 ， 也 有 
使 用 TCP 协议 的 ， 但 很 少 。 名 称 服务 主要 包括 以 下 几 个 接口 。 

口 AddName: 注册 一 个 NetBIOS 名 称 。 

口 Add Group Name: 注册 一 个 NetBIOS 组 名 称 。 

口 Delete Name: 取消 NetBIOS 名 称 或 组 名 称 的 注册 。 

口 Find Name: 在 网 络 上 查找 某 个 NetBIOS 名 称 。 

当 客 户 机 使 用 NetBIOS 接 入 网 络 时 ， 客 户 机 首先 要 广播 它 自己 的 名 称 ， 询 问 网 络 中 是 
否 有 其 他 计算 机 使 用 了 该 名 称 。 此 时 ， 如 果 网 络 中 某 一 台 计算 机 承担 了 NetBIOS 名 称 服 务 
器 功能 的 ， 这 台 计 算 机 将 给 予 响 应 ， 确 认 该 名 称 是 否 已 经 被 其 他 计算 机 使 用 。 如 果 还 没有 
被 其 他 计算 机 注册 的 , 这 台 客 户 机 就 注册 成 功 , 如 果 其 他 计算 机 已 经 使 用 了 要 注册 的 名 称 ， 
则 注册 失败 。 

如 果 网 络 中 没有 NetBIOS 名 称 服务 器 ， 则 客户 端 要 反复 广播 名 称 注 册 包 6 一 10 次 。 如 
果 没 有 收 到 其 他 计算 机 的 响应 数据 包 ， 就 认为 该 名 称 还 没有 被 使 用 ， 于 是 就 注册 该 名 称 。 
如 果 网 络 中 的 其 他 计算 机 已 经 使 用 了 该 名 称 ， 则 那 台 计算 机 要 作出 响应 ， 于 是 刚才 要 注册 
名 称 的 客户 机 就 放弃 注册 。 

在 TCP/IP 网 络 中 ， 计 算 机 需要 通过 IP 地址 来 相互 鉴别 。 因 此 ，NetBIOS 网 络 中 的 两 
台 计 算 机 相互 通信 时 ， 需 要 把 NetBIOS 名 称 转化 为 IP 址 。 这 可 以 有 3 种 途径 ， 一 是 查看 
本 机 的 Imhosts 文件 ， 二 是 在 网 络 广播 名 称 查 询 包 ， 具 有 该 名 称 的 主机 将 会 回应 ， 三 是 向 
名 称 服务 器 查询 。 

会 话 服务 可 以 让 两 台 计 算 机 建立 一 个 连接 进行 会 话 ， 这 样 可 以 传输 较 大 的 数据 包 ， 并 
提供 错误 检测 与 修复 功能 。 在 NBT 协议 中 ,会 话 服务 工作 在 TCP139 号 端口 。NetBIOS 提 
供 下 列 的 会 话 服 务 接 口 。 

口 Call: 打开 与 某 一 NetBIOS 名 称 的 会 话 。 

Listen: 监听 远程 机 与 某 一 NetBIOS 名 称 的 会 话 请 求 。 
Hang Up: 关闭 一 个 会 i 

Send: 发 送 一 个 数据 包 给 另 一 端的 会 话 对 象 。 

Send No Ack: 与 Send 相似 ， 但 不 需要 回应 。 

口 Receive: 等 待 接收 对 方 的 数据 包 。 

会 话 是 通过 交换 数据 包 建 立 的 。 会 话 发 起 方向 接收 方 的 TCP139 端口 发 送 一 个 TCP 连 
接 请 求 ， 接 收 方 接受 了 该 请 求 后 就 建立 了 TCP 连接 。TCP 连接 建立 后 , 会 话 发 起 方 通过 该 
连接 向 接收 方 发 送 一 个 “会 话 请 求 ”数据 包 ， 里 面包 含 会 话 发 起 方 的 NetBIOS 名 称 和 会 话 
接收 方 的 NetBIOS 名 称 。 会 话 接收 方 然后 回应 一 个 “肯定 会 话 响应 ”数据 包 ， 表 示 可 以 建 
立会 话 ， 或 者 回应 一 个 “否定 会 话 响应 ”数据 包 ， 表 示 不 能 建立 会 i 


且说 明 : 不 能 建立 会 话 的 原因 可 能 是 接收 方 没有 在 监听 ， 或 者 资源 不 够 等 。 


口 
口 
口 
口 
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会 话 建立 后 ， 双 方 就 可 以 通过 “会 话 消息 包 ”进行 数据 的 传输 。 在 NBT 协议 中 ， 所 
有 会 话 数据 包 的 流量 控制 和 重 传 机 制 由 TCP 来 负责 ， 而 路 由 、 数 据 的 分 割 和 重组 由 了 下 层 
来 完成 。 关 闭 TCP 连接 的 同时 ， 也 关闭 了 双方 的 会 话 。 

数据 包 服 务 是 一 种 无 连接 的 不 可 靠 通 信 ， 每 一 个 数据 包 都 是 独立 的 ， 而 且 要 比较 小 。 
另外 ， 应 用 层 程 序 自己 要 负责 数据 包 的 检测 与 修复 。 在 NBT 协议 中 ， 数 据 包 服 务工 作 在 
UDP138 号 端口 。NetBIOS 提供 了 以 下 数据 包 服务 接口 。 

口 Send Datagram: 发 送 一 个 数据 包 给 某 个 NetBIOS 名 称 。 

口 Send Broadcast Datagram: 发 送 一 个 数据 包 给 所 有 的 NetBIOS 名 称 。 

口 Receive Datagram: 等 待 接收 “Send Datagram” 数 据 包 。 

口 Receive Broadcast Datagram: 等 待 接收 “Send Broadcast Datagram ”数据 包 。 

数据 包 可 以 发 送 到 特定 的 地 点 ， 或 组 中 所 有 成 员 ， 或 广播 到 整个 局 域 网 。 发 送 方 使 用 
Send_Datagram 接口 时 ， 需 要 设 定 目的 NetBIOS 名 称 。 如 果 目 的 NetBIOS 名 是 组 名 ， 则 组 
中 的 每 个 成 员 都 将 收 到 数据 包 。Receive_Datagram 接口 的 调用 者 必须 确定 它 接收 数据 的 本 
地 NetBIOS 名 称 ， 除 了 实际 数据 外 ，Receive_Datagram 接口 也 返回 给 调用 者 发 送 方 的 
NetBIOS 名 称 。 如 果 客 户 机 的 NetBIOS 收 到 数据 包 , 却 没有 应 用 程序 调用 Receive_Datagram 
接口 在 等 待 ， 数 据 包 将 被 丢弃 。 

通过 Send_Broadcast Datagram 接口 可 以 发 送 消 息 给 本 地 网 络 上 的 每 个 NetBIOS 名 称 ， 
当 NetBIOS 收 到 广播 数据 包 时 ， 调 用 Receive Broadcast Datagram 接口 的 每 个 进程 都 将 收 到 
数据 包 。 同 样 ， 当 广播 数据 包 被 收 到 时 ， 如 果 没 有 进程 调用 这 个 接口 ， 数 据 包 也 将 被 丢弃 。 

NetBEUI 协议 实际 上 是 NetBIOS 的 扩展 , 它 直接 构建 在 以 太 网 等 数据 链 路 层 上 ， 而 不 
像 NetBIOS， 需 要 网 络 层 协议 的 支持 。 因 此 ，NetBEUI 具有 效率 高 ， 速 度 快 ， 内 存 开销 较 
少 ， 并 易于 实现 等 特点 。 但 是 由 于 缺少 网 络 层 ， 因 此 不 能 在 网 络 之 间 进 行路 由 选择 ， 只 能 
限制 在 小 型 局 域 网 内 使 用 ， 而 不 能 单独 使 用 它 来 构建 由 多 个 局 域 网 组 成 的 大 型 网 络 。 


18.2.3 ”Samba 概述 


Samba 是 一 种 开放 源 代码 的 自由 软件 ， 可 以 为 SMB/CIFS 客户 提供 所 有 方式 的 文件 和 
打印 服务 ,包括 各 种 版 本 的 Windows 客户 。Samba 的 出 现 ， 使 Windows 和 UNIX/Linux 之 
间 的 文件 和 打印 共享 变 得 非常 简单 。Linux 上 运行 了 Samba 后 ，Windows 用 户 可 以 使 用 网 
上 邻居 的 形式 访问 Linux 计算 机 上 的 文件 和 打印 机 ，Linux 用 户 也 可 以 访问 Windows 系统 
中 的 文件 和 打印 机 。 

Samba 服务 提供 Windows 风格 的 文件 和 打印 机 共享 。Windows 95、Windows 98、 
Windows NT、Windows 2000、Windows XP、Windows 2003 等 操作 系统 都 可 以 利用 Samba 
共享 Linux 等 其 他 操作 系统 上 的 资源 ， 而 且 从 操作 习惯 和 图 形 界面 来 看 和 Windows 的 共享 
资源 没有 区 别 。 

Samba 服务 可 以 在 Windows 网 络 中 解析 NetBIOS 的 名 字 。 为 了 能 够 使 用 局 域 网 上 的 资 
源 ， 同 时 使 自己 的 资源 也 能 被 别人 所 使 用 ， 各 个 主机 都 定期 地 向 局 域 网 广播 自己 的 身份 信 
息 。 负 责 收集 这 些 信 息 ， 提 供 检索 的 服务 器 也 称 为 名 称 服务 器 ，Samba 能 够 实现 这 项 功能 。 
同时 在 跨越 网 关 的 时 候 Samba 还 可 以 作为 WINS 服务 器 使 用 。 

Samba 服务 提供 了 SMB 的 客户 功能 。 利 用 Samba 程序 集 提 供 的 smbclient 程序 可 以 在 
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Linux 中 以 类 似 于 FTP 的 方式 访问 Windows 网 络 中 的 共享 资源 。 另 外 ，Samba 还 提供 了 一 


个 命 


现 基 


令 行 工具 ， 利 用 该 工具 可 以 部 分 地 支持 Windows 的 某 些 管理 功能 。 
Samba 服务 可 以 与 OpenSSL 相 结 合 ， 实 现 安全 通信 ， 也 可 以 与 OpenLDAP 相 结 合 实 
于 目录 服务 的 身份 认证 。 同 时 还 能 承担 Windows 域 中 的 PDC 和 成 员 服 务 器 角色 。 


18.2.4 Samba 服务 器 的 安装 与 运行 


没有 
代码 


默认 情况 下 ，RHEL 6 操作 系统 安装 完成 后 ， 已 经 安装 了 Samba 的 客户 端 软件 包 ， 并 
安装 服务 器 程序 。 如 果 要 安装 Samba 服务 器 ， 可 以 从 http://www.samba.org 处 下 载 源 
进行 安装 ， 目 前 最 新 版 本 是 3.6.7 版 。RHEL 6 发 行 版 的 安装 光盘 也 包含 了 Samba 的 


RPM 包 ， 版 本 是 3.5.10 版 。 可 以 用 以 下 命令 查看 Samba 软件 包 的 安装 情况 : 


# rpm -qalgrep samba 
samba-winbind-clients-3.5.10-125.e16.i686 
samba-common-3.5.10-125.e16.i686 
samba-client-3.5.10-125.e16.i686 

# 


从 以 上 可 见 ，Samba 客户 端 RPM 包 samba-client-3.5.10-125.e16.i686 已 经 安装 ， 


samba-common-3.5.10-125.el6 是 为 Samba 服务 器 和 客户 端 提 供 支 持 的 公共 包 。 为 了 安装 
Samba 服务 器 ， 从 RHEL 6 发 行 版 的 安装 光盘 上 找到 samba-3.5.10-125.el6.i686， 并 输入 以 


下 命 


令 进行 安装 : 


# rpm -ivh samba-winbind-clients-3.5.10-125.e16.i686.rpm 
warning: samba-3.5.10-125.e16.i686.rpm: Header V3 RSA/SHA256 Signature, key 
ID fd431d51: NOKEY 


Preparing... 大 提 提 提 提 提 提 扩 提 拓 拓 排 拓 拓 拓 提 提 提 提 提 提 提 拓 拓 提 提 拓 提 提 提 扩 提 提 提 提 持 折 提 大半 
[100%] 

1:samba 搓 提 提 提 提 提 提 提 提 提 提 捍 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 间 提 提 间 提 提 提 提 井 井 间 提 
[100%] 
# 


Samba 服务 器 安装 完成 后 ， 几 个 重要 的 文件 分 布 如 下 所 示 。 

/etc/pam.d/samba: Samba 的 PAM 认证 配置 。 

/etc/re.d/init.d/smb: Samba 的 启动 脚本 。 

/etc/samba/smbusers : Samba 服务 器 用 户 与 操作 系统 用 户 映射 文件 。 
/usrbin/mksmbpasswd.sh: 创建 Samba 用 户 的 脚本 。 

/usr/bin/smbcontrol: 控制 Sanmba 服务 器 运行 的 工具 。 

/usr/bin/smbstatus: 列 出 Sanmba 服务 器 的 连接 状态 。 

/usr/sbin/nmbd: Samba 服务 器 的 nmbd 进程 的 命令 文件 。 

/usr/sbin/smbd: Samba 服务 器 的 smbd 进程 的 命令 文件 。 

除了 以 上 文件 外 ， 还 有 一 些 说 明和 帮助 手册 页 文档 。 可 以 用 以 下 命令 启动 Samba 服 


DOODOOOOO 


务 器 : 


# /etc/rc.d/init.d/smb start 


启动 SMB 服务 : [确定 ] 
#/etc/rc.d/init.d/nmb. start 


启动 NMB 服务 : [确定 ] 
# ps -eaflgrep smbd 
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root 24467 地 
root 24470 24467 
root 24507 22766 
# ps -eaflgrep nmbd 
root 24471 1 
root 24512 22766 
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0 23:55 00:00:00 smbd -D 
人 23595 2? 00:00:00 smbd -D 
们 话 之 35 汪 6 pts/1 00:00:00 grep smbd 


0 23555 2 00:00:00 nmbd -D 
02356 pts/1 00:00:00 grep nmbd 


可 见 ， 默 认 时 ，Samba 服务 器 启动 了 两 个 smbd 进程 和 一 个 nmbd 进程 ， 均 以 root 用 


户 的 身份 运行 。 其中，smbd 进程 了 


E 要 负责 处 理 对 文件 和 打印 机 的 服务 请 求 ， 而 nmbd 进程 


主要 负责 处 理 NetBIOS 名 称 服务 并 提供 网 络 浏览 功能 。 另外， 可 以 用 以 下 命令 查看 这 两 个 
进程 监听 的 网 络 端口 : 
# netstat -anplgrep smbd 
tcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN 24467/smbd 
tcp 0 00.0.0.0:445 0.0.0.0:* LISTEN 24467/smbd 
unix 二 [] DGRAM 1430861 24467/smbd 
unix [] STREAM CONNECTED 1430859 24467/smbd 
# netstat -anplgrep nmbd 
udp 0 1 En 0.0.0.0:* 24471/nmbd 
udp 0 DoD OD 0.0.0.0:* 24471/nmbd 
udp 0 0 10.10,.1.29%138 0.0.0.0:* 24471/nmbd 
udp 0 0 0.0.0.0:138 0.0.0.0:* 24471/nmbd 
unix 2 [] DGRAM 1431317 24471/nmbd 
# 


由 以 上 结果 可 以 看 出 , 除了 UNIX 套 接 字 以 外 , smbd 监听 着 TCP139 和 TCP445 端口 。 
TCP139 端口 是 NetBIOS 协议 默认 的 会 话 服务 监听 端口 ， 通 过 这 个 端口 ，Samba 实现 了 
NetBIOS 上 的 SMB 协议 ， 而 通过 TCP445 端口 ， 则 直接 在 TCP 协议 上 实现 了 SMB 协议 。 
另外 , NetBIOS 的 名 称 服务 使 用 的 是 UDP137 端口 , 而 数据 包 服 务 使 用 的 是 UDP138 端口 。 
由 于 nmbd 实现 了 NetBIOS 的 名 称 服务 和 数据 包 服 务 ， 因 此 ， 这 两 个 端口 由 nmbd 进程 进 


行 监听 。 


为 了 使 远程 客户 机 能 够 访问 Samba 服务 器 ， 如果 有 防火 墙 , 需要 开放 防火 墙 的 相应 端 


口 ， 命 令 如 下 : 


# 
# 
# 
# 


iptables -I INPUT -p tcp --dport 139 -j] ACCEPT 
iptables -I INPUT -p tcp --dport 445 -j ACCEPT 
iptables -I INPUT -p udp --dport 137 -j ACCEPT 
iptables -I INPUT -p udp --dport 138 -j ACCEPT 


以 上 过 程 完成 后 ， 可 以 在 Windows 客户 端 测 试 一 下 
Samba 服务 器 是 否 已 正常 工作 , 具体 方法 是 在 IE 浏览 
的 地 址 栏 内 输入 “WN10.10.1.29”。 其 中 ,10.10.1.29 是 Samba 
服务 器 主机 的 卫 地址。 正常 情况 下 ， 将 会 出 现 如 图 18-5 


所 示 的 对 话 框 ， 要 求 进行 认证 


全 注意 : 默认 情况 下 ，Samba 并 不 使 用 操作 系统 的 账号 


Windom* 室 全 I 


输入 网 阁 安 码 
的 和 的 宇和 之 接 到 192 155.127.135 


Bs #2 


Cj Eu] 


进行 认证 ， 而 是 使 用 它 自己 创建 的 账号 ， 具体 图 
创建 方法 见 18.2.8 节 和 18.2.9 节 。 
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18-5 Windows 客户 访问 Samba 
服务 器 时 的 认证 对 话 框 
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18.2.5 与 Samba 配置 有 关 的 Windows 术语 


由 于 Samba 服务 的 主要 目的 是 让 UNIX/Linux 系统 与 Windows 系统 共享 文件 与 打印 资 
源 ， 因 此 ， 为 了 能 更 好 地 配置 Samba 服务 器 ， 需 要 了 解 一 些 Windows 系统 中 的 知识 。 下 
面 介绍 几 个 与 Samba 服务 器 配置 有 关 的 Windows 系统 中 的 术语 。 


1. 浏览 


在 SMB 协议 中 ， 计 算 机 为 了 能 够 访问 网 络 资源 ， 必 须要 先 了 解 网 络 中 存在 的 资源 列 
表 ， 这 要 通过 “浏览 ”才能 实现 。 虽 然 SMB 协议 中 可 以 使 用 广播 方式 告诉 其 他 计算 机 自 
己 的 NetBIOS 名 称 ， 但 这 种 方式 会 带 来 很 大 网 络 流量 ， 并 需要 较 长 的 查找 时 间 。 因 此 最 好 
在 网 络 中 维护 一 个 网 络 资源 的 列表 ， 以 方便 计算 机 查找 网 络 资源 。 

如 果 网 络 中 所 有 的 计算 机 都 维持 整个 资源 列表 ， 则 会 浪费 资源 ， 因 此 维护 网 络 中 当前 
资源 列表 的 任务 通常 由 儿 台 特殊 的 计算 机 完成 ， 这 些 计算 机 称 为 Browser。 作 为 Browser 
的 计算 机 通过 记录 广播 数据 或 查询 名 字 服 务 器 来 记录 网 络 上 的 各 种 资源 。 

作为 Browser 的 计算 机 并 不 需要 事先 指定 ， 它 是 由 网 络 中 的 计算 机 通过 自动 推举 产生 
的 。 不 同 的 计算 机 可 以 按照 其 提供 服务 的 能 力 ， 设 置 自己 的 权重 ， 以 便 推 举 时 进行 比较 。 
为 了 保证 某 个 Browser 停机 时 ， 网 络 浏览 仍然 能 正常 进行 ， 网 络 中 可 以 存在 多 个 Browser。 
其 中 ， 一 个 为 主 Browser (Master Browser)， 其 余 的 为 备份 Browser。 


2. 工作 组 和 域 


工作 组 和 域 都 是 由 一 组 计算 机 组 成 的 ， 它 们 的 共享 资源 位 于 同一 个 资源 列表 中 。 这 两 
个 概念 在 进行 浏览 时 具备 同样 的 用 处 ， 它 们 的 不 同 之 处 在 于 认证 方式 。 工 作 组 中 的 每 台 计 
算 机 基本 上 都 是 独立 的 ， 都 是 自己 对 客户 访问 进行 认证 。 而 每 一 个 域 中 都 会 存在 至 少 一 个 
域 控制 器 ， 它 保存 了 整个 域 的 所 有 认证 信息 ， 包 括 用 户 的 认证 信息 和 域 成 员 计 算 机 的 认证 
信息 。 在 工作 组 和 域 模型 下 ， 浏 览 资源 列表 的 时 候 都 不 需要 进行 认证 。 域 实际 上 是 工作 组 
的 扩展 ， 其 目的 是 为 了 形成 一 种 分 级 的 目录 结构 ， 再 把 目录 服务 融合 到 原 有 的 浏览 中 ， 以 
扩大 Microsoft 网 络 的 服务 范围 。 
由 于 工作 组 和 域 都 可 以 跨越 多 个 子 网 ， 因 此 网 络 中 就 存在 两 种 Browser。 一 种 是 DMB 
(Domain Master Browser)， 用 于 维护 整个 工作 组 或 域内 的 资源 列表 ; 另 一 种 是 LMB (Local 
Master Browser), 用 于 维护 本 子 网 内 的 资源 列表 。LMB 通过 本 地 子 网 的 广播 获得 资源 列表 ， 
DMB 需要 与 LMB 交流 ， 才 能 获得 整个 工作 组 或 域 的 资源 列表 。 由 于 域 控制 器 管理 着 整个 
域 ， 因 此 经 常用 做 Browser， 主 域 控制 器 应 该 设置 很 大 的 推举 权重 值 ， 以 便 在 推举 时 被 选 
作 DMB。 

为 了 浏览 多 个 子 网 的 资源 ， 需 要 NBNS (NetBIOS Name Server) 名 称 服务 器 的 帮助 ， 
没有 NBNS 提供 的 名 称 解 析 服 务 ， 计 算 机 将 不 能 获得 其 他 子 网 中 计算 机 的 NetBIOS 名 称 。 
LMB 也 需要 通过 查询 NBNS 服务 器 以 获得 DMB 的 名 字 , 才能 相互 交换 网 络 共享 资源 信息 。 


3. 认证 方式 


在 Windows 9x 系统 中 ， 由 于 缺乏 真正 的 多 用 户 能 力 ， 共 享 资源 的 认证 方式 一 般 采 用 
共享 级 的 认证 。 此 时 ， 如 果 访 问 这 些 共享 资源 ， 只 需要 提供 一 个 密码 ， 而 不 需要 提供 用 户 
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名 。 这 种 认证 方式 可 以 在 用 户 比 较 少 、 共 享 资 源 也 很 少 的 情况 下 使 用 。 如 果 需 要 共享 的 资 
源 很 多 ， 而 且 对 访问 的 控制 比较 复杂 ， 那 么 针对 每 个 共享 资源 都 设置 一 个 密码 的 做 法 就 不 
再 合适 了 。 此 时 ， 更 适合 的 是 采用 用 户 级 的 认证 。 

户 级 认证 方式 区 分 并 认证 每 个 访问 共享 资源 的 用 户 ， 并 通过 对 不 同 的 用 户 分 配 访问 
权限 的 方式 控制 访问 。 对 于 工作 组 中 的 计算 机 ， 用 户 的 认证 是 通过 提供 共享 资源 的 计算 机 
完成 的 ， 而 域 中 的 计算 机 可 以 通过 域 控制 器 进行 认证 。 


外 说 明 : 通过 域 控制 器 进行 认证 还 有 一 个 好 处 ， 就 是 用 户 认证 成 功 后 ， 可 以 自动 执行 域 控 
制 器 设置 的 相应 用 户 的 登录 脚本 ， 以 提供 个 性 服务 。 


4. 共享 资源 

Samba 服务 器 可 以 对 外 提供 文件 或 打印 服务 ， 这 些 服务 的 内 容 也 称 为 共享 资源 。 每 个 
共享 资源 都 必须 赋予 一 个 共享 名 称 ， 当 客户 端 进行 访问 时 ， 可 以 在 服务 器 的 资源 列表 看 到 
这 个 名 称 。 如 果 一 个 共享 资源 名 称 的 最 后 一 个 字符 为 $, 则 这 个 名 称 就 具有 隐形 属性 ， 不 会 
直接 出 现在 资源 列表 中 ， 用 户 只 能 通过 直接 使 用 名 称 进行 访问 。 


全 注意 : 在 SMB 协议 中 ， 为 了 获得 某 台 服务 器 的 共享 资源 列表 ， 必 须 使 用 一 个 隐藏 的 资 
源 名 称 IPC$ 来 访问 服务 器 。 


5. 网 络 登 录 


“网 络 登录 ”是 Windows 服务 器 提供 的 一 种 系统 服务 ， 用 于 对 用 户 和 其 他 服务 进行 身 
份 验证 。 它 维护 着 一 条 计算 机 和 域 控制 器 之 间 的 安全 通道 ， 将 用 户 登 录 时 的 凭据 传送 给 域 
控制 器 ， 然 后 从 域 控制 器 返回 用 户 的 域 安全 标识 符 和 所 能 行使 的 权限 。 这 种 登录 方式 也 称 
为 pass-through 身份 验证 。 


18.2.6 配置 Samba 服务 器 的 全 局 选项 


Samba 服务 器 的 主 配置 文件 是 /etc/samba/smb.conf， 它 的 配置 内 容 包含 了 许多 区 段 ， 每 
一 个 区 段 都 有 一 个 名 字 ， 用 方 括号 括 起 来 ， 其 中 有 特殊 含义 的 区 段 是 [global]、[homes] 和 
[printers]。[global] 区 段 定义 全 局 参数 ， 决 定 Samba 服务 器 要 实现 的 功能 ,是 Samba 配置 的 
核心 内 容 。[homes] 区 段 定义 用 户 的 主 目录 的 文件 服务 ， 包 含 所 有 用 户主 目录 的 共享 特性 。 
[printers] 区 段 定义 有 关 打 印 机 共享 服务 的 特性 。 另 外 ， 还 可 以 添加 其 他 用 户 命名 的 区 段 ， 
表示 要 添加 一 个 共享 资源 。 

每 一 个 区 段 里 面 都 定义 了 许多 选项 ， 格 式 为 “选项 名 = 选项 值 ”， 等 号 两 边 的 空格 被 
忽略 ， 选 项 值 两 边 的 空格 也 被 忽略 ， 但 是 选项 值 里 面 的 空格 有 意义 。“#” 是 信息 注释 符 ， 
而 “;” 是 选项 注释 符 。 如 果 一 行 太 长 ， 可 以 用 “\” 进 行 换行 。 下 面 对 Samba 软件 包 安 装 
完成 后 ， 初 始 /etc/samba/smb.conf 文件 中 的 全 局 选项 做 一 下 解释 : 


# [global] 区 段 内 的 选项 决定 了 Samba 服务 器 要 实现 的 功能 
[globall] 


# 定义 Samba 服务 器 所 属 Windows 域 或 工作 组 的 名 称 
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workgroup = MYGROUP 


# 指定 了 Samba 服务 器 的 描述 字符 串 


server string = Samba Server 


定义 安全 模式 , 可 能 的 值 是 share、user、server、domain 和 ads。 其 含义 如 下 所 示 
share: 不 需要 提供 用 户 名 和 密码 
user: 需要 提供 用 户 名 和 密码 , 而 且 身 份 验证 由 Samba 服务 器 负责 
server: 需要 提供 用 户 名 和 密码 , 可 以 指定 其 他 机 器 作 身 份 验证 
domain: 需要 提供 用 户 名 和 密码 , 指定 Windows 的 域 服务 器 作 身 份 验证 
ads : 需要 提供 用 户 名 和 密码 , 指定 Windows 的 活动 目录 作 身 份 验证 


security = user 


下 大 间 砷 


# 设置 允许 连接 到 Samba 服务 器 的 客户 机 范围 , 多 个 参数 以 空格 隔 开 。 表 示 方 法 可 以 为 完整 的 IP 
地 址 , 也 可 以 是 网 段 ,以 下 的 设置 表示 人 允许 网 段 192.168.1.0/24 和 主机 192.168.2.127 访 问 
; hosts allow = 192.168.1. 192.168.2. 127. 


# 启动 samba 服务 器 后 ,马上 共享 打印 机 


load printers = yes 


# 设置 打印 机 共享 的 配置 文件 位 置 及 名 称 


; Printcap name = /etc/printcap 


# 在 UNIX System V 操作 系统 中 , 按 以 下 设置 可 以 自动 从 假 脱 机 (spool) 中 获得 打印 机 列表 


; printcap name = lpstat 


# 设置 打印 机 的 类 型 ,可 用 的 选项 是 bsd,，cups, sysv, plp, lprng, aix, hpux, qnx。 
- 般 标准 打印 机 无 需 设置 
; Pprinting = cups 


# 将 cups 类 型 的 打印 机 打印 方式 设置 为 二 进 制 方式 


cups options = raw 


# 设 定 访问 Samba 服务 器 的 来 宾 账 户 , 也 就 是 访问 共享 资源 时 不 需要 输入 用 户 名 和 密码 的 账户 。 现 
设 为 pcguest 
# 如 果 客 户 机 操作 系统 中 没有 该 用 户 , 则 会 映射 为 Samba 服务 器 操作 系统 中 的 nobody 用 户 


; guest account = pcguest 


# 设置 Samba 服务 器 日 志文 件 的 名 称 和 位 置 。 以 下 设置 中 , sm 表示 所 连接 的 客户 机 的 NetBIOS 名 称 
# 也 就 是 说 , 要 为 每 一 个 连接 的 客户 机 设置 一 个 日 志文 件 。 也 可 以 把 所 有 的 日 志 记录 在 一 个 文件 里 
log file = /var/1og/samba/sm.1og 


# 设 定 日 志文 件 的 最 大 容量 ,单位 KB。 如 果 设 为 0, 则 表示 不 做 限制 


max 1og size = 50 


# 当 security=server 时 ,指定 提供 用 户 认证 功能 的 服务 器 


# password server = MY_PDC_Name [MY_BDC_Name] [MY_Next_BDC_Name] 


# ee te 
# password server = 


;7 password server <NT-Server-Name> 


# 当 security = ads 时 ,指定 主机 所 属 的 领域 


2 realm = MY REALM 


# 设置 存储 账号 的 后 端 数据 库 。 在 新 的 安装 中 , 建议 使 用 tdbsam 或 者 1dapsam。 使 用 tdbsam 时， 
不 需要 进一步 的 设置 ,而且 原 来 的 smbpasswd 也 可 以 继续 使 用 
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六 passdb backend = tdbsam 


# 在 此 处 把 其 他 文件 的 内 容 包含 进来 。sm 表示 所 连接 的 客户 机 的 netbios 名 称 , 以 下 的 设置 表示 
根据 不 同 的 客户 机 名 称 引 入 不 同 的 配置 内 容 
; ， include = /usr/local/samba/1lib/smb.conf.sm 


# 指定 Samba 服务 器 使 用 的 本 机 网 络 接口 。 默 认 时 使 用 所 有 具有 广播 能 力 的 接口 
; ， interfaces = 192.168.12.2/24 192.168.13.2/24 


# 设 定 samba 服务 器 是 否 要 承担 当 LMB 角色 (LMB 负责 收集 本 地 网 络 的 资源 列表 ) ,neo 表示 不 承担 


; local master = no 


# 指定 Samba 服务 器 在 承担 LMB 角色 时 的 优先 权 值 


os level = 33 


# 指定 Samba 服务 器 是 否 承担 DMB 角色 (DMB 负责 收集 域 中 的 资源 列表 ) , yes 表示 要 承担 
# 如 果 域 控制 器 已 经 做 了 这 项 工作 , 应 设 为 no 


; domain master = yes 


# Samba 服务 器 启动 时 , 是 否 进行 一 次 本 地 Browser 的 选择 


; preferred master = yes 


# 设 为 yes 表示 想 让 Samba 服务 器 成 为 Windows95 工作 站 的 域 登 录 服务 器 


; domain logons = yes 


# 如 果 domain logons 设 为 yes, 则 为 每 个 登录 的 客户 机 设置 登录 后 的 自动 执行 脚本 


; logon script = %m.bat 


# 如 果 domain logons 设 为 yes， 则 为 每 个 登录 的 用 户 设置 登录 后 的 自动 执行 脚本 。s%U 表示 登 
录 的 用 户 名 
; logon script = %U.bat 


# 指定 登录 后 自动 执行 脚本 的 位 置 。%L 表示 服务 器 的 Netbios 名 称 , 按 以 下 设置 时 ,还 要 设置 
[Profiles] 共 享 区 段 
; logon path = \\%L\Profiles\%U 


# 设置 为 yes 表示 让 Samba 服务 器 承担 WINS 服务 器 功能 


wins support = yes 


# 设置 WINS 服务 器 的 地 址 , 使 Samba 服务 器 成 为 该 WINS 服务 器 的 客户 
# 该 选项 与 "wins support = yes" 只 能 两 者 选 一 , 即 不 能 同时 承担 WINS 服务 器 和 客户 机 的 角色 


wins server = WwW.xX.y.Z 


# 使 Samba 服务 器 成 为 WINS 代理 ,回复 非 WINS 客户 的 名 称 查询 , 此 时 ,网 络 中 必须 至 少 有 一 台 
WINS 服务 器 


; wins proxy = yes 


# 告诉 Samba 服务 器 是 否 使 用 DNS 的 nslookup 对 NetBIOS 名 称 进行 解析 


dns proxy = no 


# 指定 Samba 服务 器 用 户 与 操作 系统 用 户 映射 文件 的 位 置 与 名 称 


username map = /etc/samba/smbusers 


# 下 面 提供 了 一 些 用 户 管理 的 脚本 

; add user script = /usr/sbin/useradd Su 

; add group script = /usr/sbin/groupadd %g 

; add machine script = /usr/sbin/adduser -n -g machines -c Machine -d 
/dev/null -s /bin/false %u 


.438 。 


第 18 章 ”共享 文件 系统 


; delete user script = /usr/sbin/userdel %u 

; delete user from group script = /usr/sbin/deluser %u %g 

; delete group script = /usr/sbin/groupdel %g 

以 上 是 Samba 例子 配置 文件 中 有 关 全 局 配置 选项 的 解释 。 这 些 选 项 都 是 常用 选项 ,用 
户 根据 实际 情况 进行 修改 后 ， 就 可 以 配置 一 台 实用 的 Samba 服务 器 了 。 所 有 的 配置 选项 可 
以 通过 “man smb.conf” 命 令 查 看 smb.conf 的 帮助 手册 页 。 


18.2.7 Samba 的 共享 配置 


18.2.6 节 介绍 了 例子 配置 文件 中 的 全 局 配置 选项 。 除 此 之 外 ， 例 子 配置 文件 中 还 包含 
有 关 共 享 资源 配置 的 区 段 ， 每 个 区 段 都 有 一 个 名 称 ， 有 些 区 段 的 名 称 具 有 特殊 含义 。 下 面 
对 例子 配置 文件 中 出 现 的 区 段 以 及 其 中 的 选项 进行 解释 : 

# [homes] 是 一 个 特殊 的 区 段 , 它 代表 每 个 用 户 的 个 人 目录 


[homes] 
comment = Home Directories # 注释 ,也 是 出 现在 共享 资源 列表 中 的 名 称 
browseable = no # no 表示 不 在 共享 资源 列表 中 出 现 , 默 认 是 yes 
writeable = yes # yes 表示 这 个 目录 所 属 的 用 户 具 有 写 的 权限 


# Samba 服务 器 提供 netlogon 服务 , 需要 配置 该 区 段 
; [netlogon] 

村 comment = Network Logon Service 

; 


path = /usr/local/samba/lib/netlogon # 设置 共享 目录 的 完整 路 径 


guest ok = yes # yes 表示 不 需要 密码 就 可 以 访问 这 个 共享 资源 
writable = no 
share modes = no # no 表示 文件 不 能 被 多 个 用 户 同 时 打开 

# 该 区 段 与 全 局 选项 "logon path" 有 关 , 设置 共享 用 户 登录 脚本 存放 的 日 录 

; [Profiles] 

7 path = /usr/local/samba/profiles 

; browseable = no 


guest ok = yes 


# 该 区 段 指 定 了 所 有 打印 机 的 共同 配置 。 可 以 用 区 段 [printer1] ，[printer2],.. .指定 单 台 
打印 机 的 配置 
[printers] 
comment = All Printers 
path = /usr/spool/samba # 存储 用 户 打印 任务 的 目录 
browseable = no 
; guest ok = no 
writeable no 
printable = yes # 启用 打印 机 
# 还 可 以 设置 public = yes， 此 时 允许 全 局 选项 "guest account" 指 定 的 用 户 执 行 打 印 命 令 


# 该 区 段 为 用 户 设置 存储 临时 文件 的 共享 目录 
; [tmp] 
comment = Temporary file space 


; path = /tmp 
; read only = no # 用 户 对 该 共享 资源 具有 写 的 权限 
; ， public = yes # 与 guest ok=yes 意义 相同 


# 该 区 段 定义 了 一 个 公共 共享 目录 , 除 staff 用 户 组 以 外 的 用 户 只 能 读 


; [public] 
; Ccomment = Public Stuff 
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; Ppath = /home/samba 

; Public = yes 

; writable = no 

所 printable = no 

2 Write list = @staff # 表示 属于 staff 的 用 户 组 具有 写 的 权限 


# 下 面 定义 了 一 个 fred 用 户 的 私人 打印 机 ,只 有 fred 使 用 , 假 脱 机 目录 是 fred 用 户 的 个 人 目录 
; [fredsprn] 

; Ccomment = Fred's Printer 

; valid users = fred # 表示 只 有 fred 能 登入 

; Ppath = /homes/fred 

; Printer = freds printer 

; public = no 

; writable = no 

7 Printable = yes 


# 下 面 区 段 定义 一 个 fred 用 户 的 私人 目录 ,只 有 fred 能 写 ,其余 用 户 不 能 浏览 
# 注意 : fred 用 户 在 操作 系统 设置 中 对 所 设 的 目录 要 有 写 的 权限 
;[fredsdir] 

; Ccomment = Fred's Service 


; 
; Ppath = /usr/somewhere/private 
; valid users = fred 

; Public = no 
; writable = yes 
printable = no 


# 下 面 的 区 段 配 置 可 以 使 每 台 客 户 机 登录 时 ,看 到 的 同一 名 称 的 共享 目录 实际 上 是 不 同 的 目录 

; [pchome] 

;? Ccomment = PC Directories 

; path = /usr/pc/%m # sm 表示 客户 机 的 NetBIOS 名 称 。 每 台 客户 机 看 到 的 是 不 同 的 目录 
; public = no 

; writable = yes 


# 该 区 段 定义 一 个 所 有 用 户 都 可 写 的 共享 资源 。 以 guest 对 应 的 操作 系统 用 户 写 入 ,该 用 户 对 共享 
目录 要 有 写 权限 

; [public] 

; Ppath = /usr/somewhere/else/public 

; Ppublic = yes 

; only guest = yes 

; writable = yes 

? printable = no 


# 该 区 段 定义 了 一 个 mary 和 fred 可 写 的 共享 资源 , 而 且 文件 写 入 后 , 不 能 被 删除 或 修改 
; [myshare] 

? comment = Mary's and Fred's stuff 

; Ppath = /usr/somewhere/shared 

£ valid users = mary fred 

; Public = no 

A writable = yes 

; Pprintable = no 

; 


create mask = 0765 # 创建 文件 时 ,设置 了 sticky 位 
以 上 是 Samba 例子 配置 文件 中 有 关 共 享 资源 的 配置 , 这 些 共享 资源 区 段 包 含 的 选项 内 


容 相差 不 大 。 该 文件 中 提供 的 共享 资源 例子 都 比较 典型 ， 用 户 可 以 将 其 做 为 模板 配置 自己 


的 共享 资源 。 另 外 ， 


和 户 如 果 需 要 了 解 更 多 的 配置 选项 ， 可 以 通过 “man smb.conf” 命 令 


查看 smb.conf 的 帮助 手册 页 。 
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18.2.8 Samba 客户 端 


为 了 测试 Samba 服务 器 的 运行 , 需要 创建 Samba 服务 器 自己 管理 的 用 户 账号 , 因为 默 
认 时 ，Samba 是 不 通过 操作 系统 去 认证 用 户 的 。 由 于 Samba 用 户 登录 时 ， 需 要 以 菜 一 操作 
系统 用 户 的 身份 访问 服务 器 的 共享 资源 ， 因 此 ，Samba 用 户 又 需要 与 操作 系统 用 户 建立 映 
射 关 系 。Samba 通过 smbpasswd 命令 创建 自己 的 用 户 账号 ， 但 前 提 是 操作 系统 中 应 该 存在 
同名 的 用 户 账号 。 下 面 是 创建 Samba 用 户 的 过 程 : 

# useradd smb userl // 首 先 要 创建 操作 系统 用 户 

# passwd smb userl // 设 置 该 用 户 的 操作 系统 密码 

Changing password for user smb userl. 

New UNIX password: 

Retype new UNIX password: 

passwd: all authentication tokens updated successfully. 

# smbpasswd -a smb userl // 添 加 Samba 服务 器 用 户 账号 ， 用 户 名 smb_userl 必 

// 须 是 操作 系统 用 户 
New SMB password: // 设 置 该 用 户 在 Samba 服务 器 中 的 登录 密码 , 可 以 和 操 


// 作 系统 密码 不 一 样 
Retype new SMB password: 


Added user smb userl. //Samba 用 户 添加 成 功 

# more /etc/samba/smbpasswd // 添 加 的 Samba 用 户 实际 都 存储 在 /etc/samba/ 
//smbpasswd 文件 中 

smb user1:3005:837D4RA541CR1IE33B179B4D5D6690BDF3:F5RA3188BECD031B15RA82ERA- 

C7341E5485 

[Uy ] :LCT-49415BD2: 

# 


以 上 步骤 完成 后 ， 就 可 以 在 客户 机 上 通过 smb_userl 用 户 账号 登录 Samba 服务 器 了 ， 


登录 成 功 后 ， 将 出 现 如 图 18-6 所 示 窗 口 。 在 默认 的 Samba 服务 器 配置 下 ， 出 现 的 共 
源 是 用 户 的 个 人 目录 和 共享 打印 机 。 


名 注意 : 登录 时 要 输入 用 户 在 Samba 服务 器 的 登录 密码 ， 而 不 是 操作 系统 密码 。 
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图 18-6 ”Windows 客户 端 访问 Samba 服务 器 


此 时 ， 双 击 smb_userl 图 标 进入 个 人 目录 后 ， 可 以 拥有 写 的 权限 。 


享 次 
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全 注意 ; 如 果 不 能 打开 个 人 目录 , 可 能 是 RHEL 6 操作 系统 的 SELinux 设置 还 不 允许 Samba 
服务 器 访问 用 户 的 个 人 目录 ， 需 要 通过 以 下 命令 改变 设置 : 


setsebool -P samba enable home dirs=1 


Samba 用 户 除了 使 用 操作 系统 用 户 的 名 称 外 ， 还 可 以 把 操作 系统 用 户 映射 为 另外 一 个 
用 户 名 称 ， 以 便 登录 时 ， 可 以 使 用 映射 后 的 名 称 ， 而 密码 采用 原来 的 Samba 密码 。 具 体 方 
法 是 在 /etc/samba/smbusers 文件 中 加 入 相应 的 条 目 ， 该 文件 的 初始 内 容 如 下 : 


# more smbusers 

# Unix name = SMB namel SMB name2 ... 

root = administrator admin 

nobody = guest pcguest smbguest 

# 

以 上 内 容 表 示 操 作 系统 用 户 root 要 映射 成 Samba 用 户 administrator 和 admin，nobody 
用 户 要 映射 成 guest、pcguest 和 smbguest 3 个 Samba 用 户 。 也 就 是 说 ， 这 几 个 Samba 用 户 
登录 成 功 后 ， 实 际 的 操作 系统 用 户 身份 是 被 映射 的 那个 用 户 。 例 如 ，Samba 用 户 guest 登 
录 成 功 后 , 它 将 以 nobody 用 户 身 份 对 Samba 服务 器 主机 的 文件 系统 进行 访问 。 当 然 , guest 
和 用户 能 成 功 登 录 的 前 提 是 nobody 用 户 已 经 添加 为 Samba 用 户 。 如 果 在 /etc/samba/smbusers 
文件 中 加 入 以 下 一 行 代码 : 


smb userl userl 


则 表示 把 前 面 添加 的 smb_userl 用 户 映 射 为 userl 用 户 ， 以 后 登录 时 ， 可 以 用 userl 代替 
Smb_user1l 。 

上 面 介绍 的 是 通过 Windows 客户 端 访问 Samba 服务 器 。 实 际 上 ，RHEL 6 操作 系统 也 
默认 安装 了 Samba 的 客户 端 软件 包 , 其 中 包含 了 许多 Samba 客户 端的 命令 工具 。 最 常用 的 
是 smbclient 命令 ， 它 可 以 以 类 似 FTP 客户 端的 形式 访问 网 络 上 的 共享 资源 ， 常 用 的 命令 
格式 如 下 所 示 : 
$ smbclient -L 10.10.1.29 -U smb userl // 以 用 户 名 smb_userl 登录 , 列 出 

//10.10.1.29 上 的 共享 资源 


added interface ip=10.10.1.253 bcast=10.10.1.255 nmask=255.255.255.0 
added interface ip=10.10.1.251 bcast=10.10.1.255 nmask=255.255.255.0 
Password: // 输 入 smb_userl 用 户 的 密码 
Domain= [WORKGROUP] OS=[Unix] Server=[Samba 3.0.23c-2] 

// 下 面 是 10.10.1.29 上 的 共享 资源 列表 


Sharename Type Comment 

IPCS$ PC IPC Service (Samba Server) 
abc Disk 

home Disk 

public Disk 

smb_userl Disk Home Directories 


// 下 面 的 命令 表示 以 smb_user1 用 户 身 份 访问 10.10.1.29 上 的 smb_userl 资源 

$ smbclient //10.10.1.29/smb userl -U smb userl 

added interface ip=10.10.1.253 bcast=10.10.1.255 nmask=255.255.255.0 
added interface ip=10.10.1.251 bcast=10.10.1.255 nmask=255.255.255.0 
Password: // 输 入 smb_user1l 用 户 的 密码 
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Domain= [WORKGROUP] OS=[Unix] Server=[Samba 3.0.23c-2] 


smb: \> // 出 现 Samba 客户 端 命令 提示 符 

Smb:\>? // 列 出 所 有 的 可 用 命令 ,这 些 命令 与 FTP 客户 端 命令 类 似 

smb: \> mkdir test // 创 建 名 为 test 的 子 目录 

smb: \> 1s // 列 出 目录 的 内 容 
5 D 0 Fri Dec 12 06:27:11 2008 
ES D 0 Fri Dec 12 02:27:54 2008 
.bash logout H 24 Fri Dec 12 02:27:54 2008 
.bashrc H 124 Fri Dec 12 02:27:54 2008 
test D 0 Fri Dec 12 06:27:11 2008 
.bash profile H 176° Fr1i Dec 12 02527;54 2008 

37630 blocks of size 1048576. 31940 blocks available 
smb: \> 


以 上 列 出 了 Samba 客户 端 工具 smbclient 中 的 常用 命令 ， 可 以 看 到 ， 其 命令 名 称 和 操 
作 形 式 非 常 像 字符 方式 下 的 FTP 客户 端 。 


18.3 小 结 
在 Internet 上 传输 文件 时 ， 一 般 是 采用 FTP 形式 ， 但 在 小 范围 的 局 域 网 中 ， 相 互 之 间 
共享 文件 的 方式 比较 多 。 本 章 介绍 了 两 种 常见 的 共享 文件 系统 一 一 NFS 和 Samba， 前 者 是 
UNIX 平台 下 最 著名 的 共享 文件 系统 ， 后 者 是 Linux 和 Windows 系统 之 间 共 享 资源 时 最 常 


用 的 一 种 方式 。 所 讲述 的 内 容 主 要 有 各 自 协议 的 基础 知识 、 服 务 器 的 架设 、 客 户 端的 使 
用 等 。 
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代理 (Proxy ) 是 位 于 客户 端 与 服务 器 之 间 的 一 种 中 介 , 它 分析 客 户 端 向 服务 器 的 请 求 ， 
如 果 请 求 的 数据 在 代理 缓存 中 已 经 存在 ， 则 会 代 蔡 服务 器 进行 响应 。 相 对 服务 器 ， 代 理 与 
客户 端 在 网 络 上 的 距离 比较 近 ， 于 是 就 可 以 更 快 地 为 客户 端 提供 服务 。 本 章 介 绍 有 关 代理 
服务 器 的 原理 ， 以 及 Squid 代理 服务 器 的 安装 、 运 行 与 配置 等 内 容 。 


19.1 代理 服务 概述 


代理 服务 的 种 类 非常 多 。 如 果 按 所 支持 的 协议 来 分 ， 可 以 有 HTTP 代理 、FTP 代理 、 
SSL 代理 、POP3 代理 和 SOCKS 代理 等 。 其 中 ，HTTP 代理 (也 称 为 Web 代理 ) 的 应 用 最 
为 广泛 。 本 节 主要 以 HTTP 代理 为 例 ， 介 绍 代理 服务 的 原理 、 作 用 、 绥 存 机 制 、 代 理 的 方 
式 等 内 容 。 


19.1.1 代理 服务 器 的 工作 原理 


代理 服务 器 一 般 构 建 在 内 部 网 络 和 Internet 之 间 , 负责 转发 内 网 计算 机 对 Internet 的 访 
问 ， 并 对 转发 请 求 进行 控制 和 登记 。 代 理 服务 器 作为 连接 Intranet (局域网 ) 与 Internet ( 广 
域 网 ) 的 桥梁 ， 在 实际 应 用 中 有 着 重要 的 作用 。 利 用 代理 ， 除 了 可 以 实现 最 基本 的 连接 功 
能 外 ， 还 可 以 实现 安全 保护 、 绥 存 数据 、 内 容 过 滤 和 访问 控制 等 功能 。 如 图 19-1 所 示 的 是 
Web 代理 的 原理 图 。 


htemet 


请 求 
(cache 没有 ) 


Squid 代 理 服务 器 


cache 


一 NN 响 应 


客户 机 A 客户 机 B 客户 机 N 


图 19-1 Web 代理 原理 图 
在 图 19-1 中 ， 多 台 客户 机 通过 内 网 与 Web 代理 服务 器 连接 ，Web 代理 服务 器 除了 与 


第 19 章 ”Squid 代理 服务 器 架设 


内 网 连接 外 ,还 有 一 个 网 络 接口 与 外 网 连接 。Web 代理 平时 维护 着 一 个 很 大 的 缓存 (Cache ) 。 
当 某 一 台 客 户 机 ， 例 如 A 客户 机 ， 访 问 外 网 的 某 台 Web 服务 器 时 ， 发 过 去 的 HTTP 请 求 
要 先 经 过 Web 代理 。Web 代理 对 这 些 HTTP 请 求 进行 分 析 ， 如 果 发 现 所 请 求 的 数据 在 缓存 
中 已 经 存在 ， 则 直接 把 这 些 数据 发 送 给 客户 机 A。 

如 果 Web 代理 在 缓存 中 找 不 到 所 请 求 的 数据 , 则 会 转发 这 个 HTTP 请 求 到 客户 机 要 访 
问 的 Web 服务 器 。Web 服务 器 响应 后 ， 把 数据 发 给 了 Web 代理 ，Web 代理 再 把 这 个 数据 
转交 给 客户 机 A， 同 时 把 这 些 数 据 储存 在 缓存 中 。 于 是 ， 下 次 客户 机 A 或 其 他 客户 机 再 次 
请 求 同 样 的 数据 时 ，Web 代理 就 直接 用 缓存 中 的 数据 进行 响应 , 而 不 需要 再 次 向 Web 服务 
器 请 求 数据 。 

对 客户 机 来 说 ， 它 是 感觉 不 到 代理 的 存在 的 ， 以 为 所 看 到 的 网 页 是 由 真实 的 Web 服 
务 器 回复 的 。 实 际 上 ， 很 多 的 回复 数据 是 从 代理 服务 器 的 缓存 中 得 到 的 ， 由 于 没有 通过 
Internet 与 真实 的 Web 服务 器 进行 通信 ， 而 内 网 的 速度 比 Internet 要 快 很 多 。 因 此 ， 用 户 
会 感觉 到 访问 速度 有 很 大 的 提高 。 特 别 是 对 一 些 访问 量 很 大 的 热门 网 站 ， 速 度 更 是 有 明 
显 的 提高 。 

当然 ， 如 果 客 户 机 每 一 次 请 求 的 数据 代理 服务 器 的 缓存 中 都 没有 ， 都 需要 通过 代理 服 
务 器 向 Internet 上 的 Web 服务 器 请 求 ， 则 比 客户 机 自己 直接 请 求 时 的 速度 要 慢 。 但 由 于 能 
加 快 后 续 访 问 的 速度 ， 因 此 ， 从 整体 来 说 ， 速 度 的 提高 还 是 很 明显 的 。 


全 说 明 : 实际 上 ， 对 于 Web 访问 来 说 ， 一 个 网 站 的 网 页 往往 包含 了 大 量 重复 的 链接 。 即 
使 客户 机 初次 浏览 一 个 网 站 ， 看 到 的 是 不 同 的 网 页 ， 但 构成 这 些 网 页 的 链接 实际 
上 很 多 是 重复 的 。 于 是 ， 重 复 链接 所 指 的 内 容 就 不 需要 直接 访问 Web 服务 器 ， 
而 是 从 代理 服务 器 的 缓存 中 得 到 。 


除了 上 面 提 到 的 使 用 代理 可 以 大 大 提高 速度 外 ， 代 理 服务 器 还 有 以 下 几 个 好 处 。 
1. 可 以 起 到 防火 墙 的 作用 


由 于 所 有 的 客户 机 访问 外 网 时 ， 都 是 通过 代理 服务 器 出 去 的 。 因 此 ， 代 理 服务 器 可 以 
按照 一 定 的 规则 限制 某 些 客户 机 访问 外 网 ， 或 者 限制 客户 机 访问 某 些 Intermet 上 的 服务 器 。 
同时 ， 客 户 机 所 有 要 访问 的 数据 都 是 由 代理 服务 器 转发 给 客户 机 的 。 因 此 ， 代 理 服务 器 也 
可 以 按 一 定 的 规则 过 滤 或 屏蔽 掉 某 些 有 害 信息 ， 使 客户 机 不 能 收 到 这 些 信息 。 总 的 来 说 ， 
有 了 代理 服务 器 后 ， 网 络 管理 员 可 以 更 方便 地 进行 访问 控制 。 


2. 客户 机 的 安全 性 能 得 到 提高 

客户 机 通过 代理 访问 时 ， 目 的 服务 器 看 到 的 往往 是 代理 服务 器 的 地 址 ， 并 不 知道 客户 
机 的 真实 地 址 ， 于 是 客户 机 的 身份 就 得 到 了 隐藏 。 这 样 不 仅 保 护 了 用 户 的 隐私 ， 而 且 使 攻 
击 者 失去 了 目标 。 另 外 ， 如 果 代理 服务 器 提供 了 病毒 、 木 马 程序 过 滤 等 功能 ， 则 目标 服务 
器 向 客户 机 发 送 病毒 或 木马 等 恶意 程序 时 ， 会 遭 到 代理 服务 器 的 拦截 ， 从 而 保证 了 客户 机 
的 安全 。 

3. 可 以 访问 受 限 的 服务 器 

有 些 服务 器 由 于 各 种 原因 , 往往 只 接受 部 分 IP 地 址 范围 的 客户 机 访问 。 对 于 落 在 这 个 
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范围 以 外 的 客户 机 将 拒绝 访问 , 或 只 能 访问 一 部 分 内 容 。 此 时 ,如 果 位 于 允许 IP 地 址 范围 
内 的 客户 机 设置 了 代理 服务 ， 则 受 限制 的 客户 机 就 可 以 通过 这 台 提 供 代 理 服 务 的 机 器 访问 
原来 不 能 访问 的 服务 器 ， 从 而 突破 了 对 方 的 限制 。 


4. 减少 出 口 流量 


对 于 采用 流量 计 费 的 出 口 线路 来 说 ， 使 用 代理 服务 器 还 可 以 减少 费用 。 如 果 内 网 客户 
机 大 量 的 数据 都 是 从 代理 服务 器 的 缓存 中 得 到 的 ， 则 出 口 线路 的 流量 将 大 大 减少 ， 这 不 仅 
意味 着 速度 的 提高 ， 而 且 也 意味 着 上 网 费用 的 降低 。 


19.1.2 ”Web 缓存 的 类 型 和 特点 


在 计算 机 领域 中 ， 缓 存 技术 的 使 用 无 处 不 在 ， 使 用 缓存 的 主要 目的 在 于 加 快 数据 的 访问 
速度 。 在 Internet 中 ， 人 们 也 广泛 使 用 缓存 技术 来 提高 网 络 速度 。 由 于 Web 是 mternet 上 最 
重要 的 一 种 服务 ， 因 此 Web 缓存 的 使 用 对 于 减少 网 络 流量 、 提 高 网 络 速度 具有 重要 的 意义 。 
Web 缓存 的 位 置 可 以 有 3 种 ， 一 是 可 以 放置 在 客户 端 ， 二 是 放 在 服务 器 端 ， 还 有 就 是 放 在 客 
户 机 与 Web 服务 器 之 间 的 某 个 网 络 结 点 上 ， 这 个 网 络 结 点 往往 就 是 Web 代理 服务 器 。 


1. 客户 端 缓存 


几乎 所 有 的 Internet 浏览 器 都 提供 了 缓存 功能 ， 人 允许 用 户 在 客户 机 的 内 存 或 硬盘 上 组 
存 访问 过 的 Web 对 象 ， 如 网 页 、 图 像 、 声 音 等 。 当 用 户 通过 浏览 器 请 求 Web 服务 器 上 的 
网 页 时 ， 浏 览 器 首先 要 查找 自己 的 缓存 。 如 果 请 求 的 数据 存在 缓存 副本 ， 而 且 满足 一 定 的 
时 间 条 件 ， 则 浏览 器 直接 读 取 缓 存 副 本 。 如 果 在 缓存 中 找 不 到 请 求 的 数据 ， 则 通过 网 络 从 
URL 所 指向 的 Web 服务 器 读 取 ， 并 且 把 读 取 的 数据 缓存 起 来 ， 以 便 下 次 使 用 。 
客户 端 缓存 有 两 个 缺点 。 一 是 由 于 缓存 的 容量 小 ， 不 能 存储 大 量 的 Web 对 象 。 因 此 ， 
读 取 时 的 命中 率 比较 低 。 二 是 每 个 客户 机 的 缓存 都 是 在 本 地 的 ， 虽 然 距离 很 近 ， 相 互 之 间 
却 不 能 共享 缓存 中 的 数据 ， 从 而 造成 缓存 中 存在 大 量 的 重复 数据 。 因 此 ， 客 户 端 缓存 的 作 
用 与 效果 是 相当 有 限 的 。 
全 说 明 : 有 些 客户 端的 浏览 器 有 时 还 会 采取 预 读 的 策略 ， 把 可 能 要 访问 的 网 页 提前 下 载 到 
缓存 。 虽 然 这 对 本 机 是 有 利 的 ， 但 提前 下 载 的 网 页 并 不 是 都 会 被 访问 到 ， 于 是 就 
增加 了 人 额外 的 网 络 流量 ， 对 总 体 速 度 是 没有 好 处 的 。 


2. 代理 服务 器 缓存 


代理 服务 器 缓存 位 于 网 络 的 中 间 位 置 ， 它 可 以 同时 接收 很 多 客户 机 的 请 求 。 因 此 ， 它 
的 缓存 可 以 被 这 些 客户 机 共享 。 当 一 个 客户 端 请 求 在 代理 服务 器 处 得 到 满足 时 ， 就 减少 了 
代理 服务 器 与 Web 服务 器 之 间 的 网 络 流量 ， 也 就 减少 了 请 求 的 延 时 和 Web 服务 器 的 负载 。 
因为 代理 服务 器 缓存 要 面 对 大 量 的 客户 机 ， 所 以 在 管理 上 要 注重 整体 性 能 ， 而 且 容 量 要 比 
客户 端 缓存 大 得 多 。 

由 于 代理 缓存 要 面向 很 多 的 客户 机 ， 因 此 它 的 性 能 也 是 至 关 重 要 的 。 如 果 代 理 缓存 的 
性 能 不 能 满足 要 求 ， 则 不 仅 不 能 提高 速度 ， 反 而 会 造成 网 络 瓶颈 ， 影 响 客户 机 的 访问 速度 。 
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代理 缓存 应 该 具有 健壮 性 、 可 扩展 性 、 稳 定性 、 负 载 平衡 等 特点 。 
3. 服务 器 缓存 


设置 服务 器 缓存 的 目的 是 为 了 减轻 Web 服务 器 的 负载 ， 而 不 是 为 了 提高 网 页 访问 的 命 
中 率 。 它 接收 到 的 都 是 访问 自己 的 请 求 ， 而 不 是 像 代理 缓存 那样 ， 接 收 到 的 请 求 是 指向 为 数 
众多 的 另外 的 Web 服务 器 。 由 于 一 些 热门 网 点 访问 量 特别 巨大 ， 单 一 的 Web 服务 器 难以 应 
付 。 因此， 可 以 在 前 面 放置 儿 台 服务 器 缓存 ， 分 担 客户 机 的 访问 请 求 。 如 果 客户 机 请 求 的 网 
页 在 Web 服务 器 缓存 中 找 不 到 ， 则 由 服务 器 缓存 从 Web 服务 器 读 取 ， 再 发 送 给 客户 机 。 

服务 器 缓存 不 仅 减 少 了 Web 服务 器 所 在 网 络 的 流量 ， 同 时 还 保护 着 Web 服务 器 的 安 
全 。 因 为 Web 服务 器 是 不 直接 面向 客户 机 的 ， 它 只 向 服务 器 缓存 提供 数据 。 另 外 ， 采 用 服 
务 器 缓存 还 提高 了 网 站 的 可 靠 性 ， 因 为 服务 器 缓存 的 数量 一 般 不 只 一 台 。 如 果 其 中 一 台 出 
了 故障 ， 它 的 工作 可 以 由 另外 儿 台 临时 承担 ， 不 会 造成 整个 网 站 的 瘫痪 。 

由 于 Web 环境 的 特点 ,使 得 Web 缓存 设计 时 与 传统 的 操作 系统 缓存 有 不 一 样 的 考虑 。 
操作 系统 管理 的 缓存 其 数据 往往 是 有 固定 的 大 小 ， 如 一 页 或 者 一 块 ， 读 取 固 定 大 小 的 数据 
时 其 时 间 也 可 以 认为 是 固定 的 。 但 Web 缓存 的 对 象 其 大 小 变化 很 大 ， 从 儿 百 字 节 到 几 兆 字 
节 ， 而 且 在 网 络 环境 中 ， 即 使 对 象 的 大 小 是 一 样 的 ， 读 取 的 时 间 差 别 可 能 也 是 很 大 的 。 因 
此 ， 传 统 的 缓存 系统 中 所 使 用 的 算法 并 不 适合 在 Web 缓存 中 使 用 。 


19.1.3 3 种 典型 的 代理 方式 


根据 Web 代理 服务 器 的 配置 方案 与 工作 方式 ， 可 以 把 Web 代理 分 成 3 种 。 第 1 种 是 传 
统 的 代理 方式 , 它 需 要 在 客户 端 进行 配置 , 而 且 客 户 端 知 道 代 理 的 存在 ; 第 2 种 是 透明 代理 ， 
它 一 般 用 于 为 内 部 网 络 中 的 主机 提供 外 网 的 访问 服务 , 但 不 需要 配置 客户 端 ， 而 且 客 户 端 不 
知道 代理 的 存在 ;第 3 种 是 反 向 代理 ， 它 为 外 部 网 络 上 的 主机 提供 内 网 的 访问 服务 。 


1. 传统 代理 


如 图 19-1 所 示 的 就 是 传统 代理 方式 , 它 是 用 户 最 熟悉 的 , 需要 在 浏览 器 中 进行 代理 设置 ， 
明确 指出 代理 服务 器 的 P 地 址 和 网 络 端口 ， 使 得 浏览 器 访问 指定 的 服务 时 ， 先 把 访问 请 求 发 
送 给 代理 服务 器 。 这 种 方式 的 优点 是 便于 用 户 对 访问 进行 管理 ， 使 用 的 服务 种 类 多 ， 并 且 可 以 
在 需要 时 进行 设置 。 同 时 代理 服务 器 配置 简单 ， 不 需要 其 他 服务 器 或 网 络 设备 的 配合 。 

但 传统 的 代理 方式 也 存在 着 缺点 。 首 先是 需要 发 布 代理 服务 器 的 地 址 和 端口 信息 ， 并 且 
改变 后 要 及 时 通知 用 户 ， 当 用 户 数 很 多 的 时 候 ， 这 对 管理 员 是 一 个 不 小 的 负担 。 其 次 ， 由 于 
j 户 需要 自行 配置 浏览 器 , 虽然 步骤 比较 简单 , 但 对 有 些 初学 者 来 说 可 能 还 是 有 一 定 难度 的 。 
最 后 就 是 如 果 网 络 存在 多 个 出 口 时 ， 用 户 可 以 不 使 用 代理 ， 代 理 服务 器 也 就 失去 了 意义 。 


2. 透明 代理 


透明 代理 的 原理 图 如 图 19-2 所 示 , 它 一 般 为 内 网 计算 机 提供 外 网 的 访问 服务 , 不 需要 
客户 端 做 任何 设置 。 当 客户 端的 某 种 数据 包 ， 如 TCP 80 号 端口 的 HTTP 请 求 数据 包 经 过 
内 网 的 出 口 路 由 器 时 ， 可 以 被 路 由 器 重 定 向 到 本 地 代理 服务 器 的 代理 端口 ， 然 后 由 本 地 代 
理 服务 器 对 HTTP 请 求 进行 处 理 。 如 果 所 请 求 的 数据 缓存 中 已 经 存在 的 ， 直 接 响应 ， 如 果 
没有 的 ， 则 向 外 网 的 Web 服务 器 请 求 ， 然 后 再 响应 。 
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过 
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透明 代理 
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图 19-2 透明 代理 示意 图 

透明 代理 克服 了 传统 代理 的 缺点 , 不 需要 客户 端 进行 配置 , 能 够 强制 客户 端 使 用 代理 ， 
容易 实现 平衡 。 但 它 也 有 自己 的 缺点 ， 首 先是 需要 其 他 网 络 设备 的 配合 ， 把 某 种 数据 包 转 
发 给 代理 服务 器 ;其 次 是 需要 从 大 量 的 外 出 Internet 流量 中 过 滤 出 所 需 的 数据 包 ， 增 加 了 
网 络 设备 的 负担 ， 而 且 会 有 一 定 的 延 时 ， 最 后 就 是 当 应 用 程序 的 一 系列 请 求 是 相关 的 并 涉 
及 到 多 个 目标 对 象 时 ， 如 果 要 求 是 有 状态 的 ， 这 时 使 用 透明 代理 可 能 会 有 问题 。 

3. 反 向 代理 

与 传统 代理 和 透明 代理 不 同 的 是 ， 反 向 代理 服务 器 能 够 代理 外 部 网 络 上 的 主机 访问 内 
部 网 络 ， 如 图 19-3 所 示 。 


eB 反 向 代理 


图 19-3 反 向 代理 示意 图 
反 向 代理 主要 为 一 个 或 儿 个 本 地 网 站 做 缓存 ， 以 加 快 Web 服务 器 的 响应 速度 , 或 者 代 
理 外 网 的 计算 机 访问 内 部 的 服务 器 ,以 加 强 Web 服务 器 的 安全 。 反 向 代理 实际 上 相当 于 前 
面 介绍 的 服务 端 缓存 ， 有 关内 容 可 参见 19.1.2 节 。 


Web 服务 器 


Web 服务 器 


Web 服务 器 


19.2 ”Squid 服务 器 的 安装 与 运行 


代理 服务 器 软件 的 选择 可 以 有 很 多 种 ， 其 中 最 有 名 的 是 Squid。 它 是 一 种 开源 软件 ， 
可 以 工作 在 各 种 操作 系统 平台 上 ， 包 括 Linux 操作 系统 。Squid 服务 器 效率 高 ， 功 能 强大 ， 
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提供 丰富 的 访问 控制 、 用 户 认 证 和 日 志 功能 。 本 节 主 要 介绍 Squid 服务 器 的 概况 、 软 件 获 
取 、 安 装 与 运行 、 客 户 端 设置 与 测试 等 内 容 。 


19.2.1 Squid 简介 


Squid 软件 来 源 于 一 个 名 为 Harvest Cache 的 项 目 , 它 得 到 了 美国 国家 科学 基金 的 资助 ， 
是 一 种 开放 源 代 码 的 软件 。 某 些 特征 的 加 入 和 BUG 的 修复 由 一 个 在 线 的 工作 组 来 完成 。 
美国 国家 科学 基金 的 资助 于 2000 年 7 月 结束 。 目前 的 Squid 是 由 很 多 志愿 者 进行 开发 和 管 
理 的 ， 其 主要 经 济 来 源 是 一 些 公司 的 赞助 ， 这 些 公司 因为 在 使 用 Squid 中 获得 了 收益 。 

Squid 是 一 种 快速 的 代理 缓存 程序 ， 它 扮演 着 一 种 中 介 的 角色 ， 从 浏览 器 等 客户 端 程 
序 接受 请 求 ， 并 把 它 传递 给 请 求 的 URL 所 指向 的 Internet 服务 器 ， 然 后 把 返回 的 数据 传 给 
客户 端 ， 同 时 存储 一 份 副本 在 磁盘 缓存 中 。 这 样 做 主要 的 好 处 是 下 次 再 有 客户 端 有 同样 的 
请 求 时 ， 磁 盘 缓 存 中 的 副本 可 以 马上 传送 给 客户 端 ， 从 而 加 快速 度 ， 节 省 带宽 。 使 用 了 代 
理 缓存 程序 后 ， 只 需要 使 用 少量 的 磁盘 缓存 空间 就 可 以 给 速度 和 带宽 带 来 重要 的 影响 。 


名 说明: Internet 防火 墙 中 通常 也 有 一 个 代理 单元 ， 但 是 这 种 代理 单元 与 Squid 代理 不 一 
样 。 大 多 数 的 防火 墙 代理 单元 并 没有 存储 返回 数据 的 副本 ， 每 一 次 的 请 求 数据 都 
要 从 Internet 服务 器 上 读 取 。 另 外 ，Squid 还 比 Internet 防火 墙 的 代理 单元 支持 更 
多 的 协议 ， 并 可 以 构建 复杂 的 分 级 代理 机 制 。 


许多 Internet 服务 器 会 支持 多 种 协议 的 访问 ， 例 如 ， 一 台 Web 服务 器 在 提供 HTTP 
议 访问 的 同时 ， 也 可 能 还 具有 FTP 服务 器 的 功能 。Squid 为 了 避免 把 缓存 的 FTP 数据 返 
给 HTTP 客户 ， 采 用 了 完全 的 URL 来 唯一 地 索引 所 缓存 的 数据 。 

Squid 除了 对 Web 对 象 进行 缓存 外 ， 同 时 也 缓存 DNS 查询 的 结果 。 此 外 ， 它 还 支持 非 
模块 化 的 DNS 查询 ， 对 失败 的 请 求 进行 消极 缓存 。Squid 采用 一 个 主 进 程 squid 来 处 理 所 
有 的 客户 端 请 求 ， 同 时 还 派生 出 几 个 辅助 进程 。Squid 可 以 运行 在 各 种 UNIX/Linux、 
Windows 等 操作 系统 平台 上 ， 要 求 机 器 的 内 存 一 定 要 大 ， 硬 盘 访 问 速度 要 快 ， 但 对 处 理 器 
的 要 求 不 是 很 高 。Squid 主要 有 以 下 功能 。 

加 速 内 部 网 络 与 Intemet 的 连接 ; 

保护 内 部 网 络 免 受 来 自 Internet 的 攻击 ; 
获得 内 部 网 络 用 户 访问 Internet 的 上 网 行为 记录 ; 
阻止 不 合适 的 Internet 访问 ; 

支持 用 户 认证 功能 ; 

过 滤 敏 感 信息 ; 

加 速 Web 服务 器 的 页 面 访 问 速度 。 
Squid 支持 以 下 客户 端 网 络 协议 。 

访问 Web 服务 器 的 HTTP 协议 ; 

文件 传输 协议 FTP; 

信息 查找 协议 Gopher; 

广 域 信息 查询 系统 WAIS; 
安全 套 接 层 协议 SSL。 

Squid 支持 以 下 内 部 缓存 和 管理 协议 。 


卫 站 


OOOOOO DO 


OOODOCDO 
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口 HTTP 协议 ， 用 于 从 其 他 缓存 抽取 Web 对 象 的 副本 ; 

口 ICP (Intemet Cache Protocol， 互 联网 缓存 协议 ) 协议 ， 用 于 从 其 他 缓存 中 查找 一 
个 特定 的 对 象 ; 

口 Cache Digests 协议 ， 用 于 生成 其 他 缓存 中 所 存 对 象 的 索引 ; 

口 SNMP 协议 ， 为 外 部 工具 提供 所 缓存 信息 ; 

口 HTCP 协议 ， 是 用 来 发 现 HTTP 缓冲 区 ， 并 储存 、 管 理 HTTP 数据 的 协议 。 


19.2.2 ”Squid 软件 的 安装 与 运 


Squid 是 一 个 开放 源 代码 的 软件 ， 可 以 免费 获取 并 使 用 ， 其 主页 地 址 是 http://www. 
squid-cache.org， 目 前 最 新 版 是 3.2.1 版 。 除 了 提供 源 代码 外 ， 下 载 页面 上 还 提供 了 最 新 的 
For RHEL 6 的 RPM 包 , 文件 名 是 squid-3.1.10-1.e16 2.4.1686.rpm。 默认 情况 下 , 在 RHEL 6 
操作 系统 安装 完成 后 ， 已 经 安装 了 Squid 软件 包 ， 可 以 用 以 下 命令 查看 : 


# rpm -qa | grep squid 
squid-3.1.10-1.e16 2.4.i686 
# 


上 述 执行 结果 表明 RHEL 6 中 已 经 安装 了 Squid， 版 本 是 3.1.10。 为 了 将 其 升级 为 最 新 
的 3.2 版 ,可 以 从 Squid 主页 下 载 最 新 的 For RHEL 6 的 RPM 包 文件 squid-3.2.1-1.fc17.x86_ 
64.mpm， 复 制 到 当前 目录 后 ， 用 以 下 命令 进行 升级 安装 : 

# rpm -e squid-3.1.10-1.e16 2.4.i686.rpm 

# rpm -ivh squid-3.3.0.1-1,.fc17.x86 64.rpm 

Preparing... 非 排 拓 大 拓 大 提 提 提 提 提 提 提 振 大 失 持 振 提 提 提 并 大 拓 拓 拓 拓 拓 拓 拓 提 提 提 提 间 提 间 提 提 提 提 ## [1OOS] 


1:squid 章 提 提 提 非 提 非 捍 捍 提 提 提 提 提 提 捍 提 提 捍 提 提 提 提 提 提 提 并 间 提 提 提 提 提 提 井 间 间 提 提 井 井 ### [1OOS] 
# 


安装 成 功 后 ， 有 关 Squid 服务 器 软件 的 几 个 重要 文件 分 布 如 下 所 示 。 
/etc/httpd/conf.d/squid.conf: 在 Apache 服务 器 中 加 入 运行 cachemgr.cgi 程序 的 配置 。 
/etc/logrotate.d/squid: Squid 的 日 志 深 动 方式 的 配置 。 

/etc/pam.d/squid: Squid 的 PAM 认证 配置 。 

/etc/squid/errors: 是 一 个 目录 ， 存 放 给 客户 端 报告 出 错时 的 HTML 文件 。 
/etc/squid/mib.txt: 为 SNMP 协议 配置 Squid 的 MIB。 

/etc/squid/mime.conf: 定义 MIME 类 型 的 文件 。 

/etc/squid/msntauth.conf: 用 于 Windows NT 认证 的 配置 。 
/etc/squid/squid.conf: Squid 的 主 配 置 文件 。 

/usr/lib/squid/*_auth: 各 种 认证 方式 的 库 文件 。 

/usr/lib/squid/cachemgr.cgi: 对 缓存 进行 管理 的 CGI 程序 。 

/usr/sbin/squid: Squid 服务 器 的 主 程序 。 

/usr/sbin/squidclient: 统计 显示 摘要 报表 的 客户 程序 。 

/usr/share/squid/errors: 是 一 个 目录 ， 存 放 各 种 语言 出 错 报告 的 HTML 文件 。 
/varlog/squid: 存放 Squid 日 志 的 目录 。 

/var/spool/squid: Squid 缓存 的 根 目录 。 

为 了 运行 squid， 可 以 输入 以 下 命令 : 


[root@localhost squid]# /etc/rc.d/init.d/squid start 


:OOOOOOOOOOOOOO DO 
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启动 squid : [确定 ] 

# ps -eaflgrep squid 

root 3070 1 00735 00:00:00 squid -f /etc/squid/squid.conf 
squid 3073 3070 OSI 00:00:00 (squid) -f 
/etc/squid/squid.conf 

squid SO 0 0 L135 00:00:00 (unlinkd) 

root BI2T 27740 0 UIsSI9 ES 00:00:00 grep squid 

# 


可 以 看 到 ，Squid 服务 器 启动 了 3 个 进程 。 其 中 一 个 是 由 root 用 户 运行 的 ， 另 外 两 个 
由 squid 用 户 运 行 ，squid 用 户 是 在 Squid 软件 包 安 装 的 时 候 自动 创建 的 ， 如 果 采 用 源 代码 
安装 ， 需 要 手工 创建 。 为 了 查看 一 下 squid 进程 监听 了 哪些 网 络 端口 ， 输 入 以 下 命令 ; 


# netstat -anplgrep squid 

tcp DO 000 32 0.0.0.0:* LISTEN 4466/ (squid) 
udp 0 0 050050:3277I 0.0.0.0:* 4466/ (squid) 
udp 0%0000.0.0.053130 0.0.0.0:* 4466/ (squid) 
unix 2 | DGRAM 19007 4464/squid 

# 


可 见 ， 初 始 配置 下 ，Squid 服务 器 监听 的 是 TCP3128 端口 。 也 就 是 说 ，Squid 服务 器 
通过 这 个 端口 接受 客户 端的 代理 请 求 。 


全 注意 : Squid 服务 器 监听 的 另外 两 个 UDP 端口 主要 用 于 与 其 他 代理 服务 器 交换 缓存 信息 。 


为 了 使 远程 客户 可 以 使 用 Squid 服务 器 ， 需 要 主机 防火 墙 开放 上 述 端口 ， 或 者 在 测试 
时 ， 用 以 下 命令 清空 防火 墙 的 所 有 规则 : 


# iptables -F 


上 述 过 程 完成 后 ，Squid 服务 器 已 经 能 正常 使 用 ,使 用 的 是 /etc/squid/squid.conf 文件 的 
初始 配置 , 代理 的 方式 是 传统 代理 。 可 以 通过 客户 端 对 其 进行 测试 ， 具体 方法 见 19.2.3 节 。 


19.2.3 ”代理 的 客户 端 配置 jntemat 运 项 | 


代理 可 以 分 为 传统 代理 、 透 明代 理 和 反 向 | | 
代理 3 个 方式 。 对 于 传统 代理 来 说 , 需要 在 客 | 坊 可 


户 端 进行 配置 ， 明 确 指定 代理 服务 器 的 IP 地 || es 
址 、 网 络 端口 等 信息 ， 而 透明 代理 和 反 向 代理 
是 不 需要 进行 客户 端 配置 的 。 在 Windows 的 a 


下 浏览 器 中 ， 可 以 通过 “局 域 网 设置 ”对 话 “| 加 Pa 六 [ 
框 进行 配置 ， 具 体 步骤 如 下 所 示 。 

(1) 在 正 的 主 菜单 中 选择 “工具 下 Internet A 
选项 ” 命令， 出 现 对 话 框 后 再 选择 “连接 ” 标 “| Baowisg | 


签 ， 则 会 出 现 如 图 19-4 所 示 的 界面 。 | 
(2) 如 果 是 直接 使 用 以 太 网 卡 上 网 , 可 以 

单 击 图 19-4 中 的 “局 域 网 设置 ”按钮 进行 设 

置 ， 将 出 现 “ 局 域 网 (LAN) 设置 ” 对话 框 ， | 

然后 选中 “为 LAN 使 用 代理 服务 器 ” 复 选 框 ， 图 19-4 “Internet 选项 ”对 话 框 
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再 输入 代理 服务 器 的 地 址 和 端口 号 ， 如 图 19-5 所 示 。 

(3) 如 果 各 种 协议 的 代理 服务 器 设置 是 一 样 的 ， 则 此 时 单 击 “确定 ” 按 钮 返回 即 可 。 
但 如 果 各 种 协议 的 代理 服务 器 有 不 同 的 IP 地 址 和 端口 号 、 或 者 要 设置 Socks 代理 ， 则 还 要 
单 击 图 19-5 中 的 “高 级 ”按钮 ， 出 现 如 图 19-6 所 示 的 对 话 框 。 

(4) 在 如 图 19-6 所 示 的 对 话 框 中 ， 选 中 “对 所 有 协议 均 使 用 相同 的 代理 服务 器 ” 复 选 
框 ， 则 可 以 在 上 面 的 文本 框 内 输入 各 种 协议 代理 服务 器 的 卫 地 址 和 端口 号 。 


代理 设置 ee | 
服务 器 
于。 类 型 要 使 用 的 代理 有 务 器 地 直 MD 
CT 了 三 oreo0: TBT Er 
自动 配置 安全 G5): |192.168.127_135 
有 手动 四。 要 太保 人 用 手动 没 和 请 用 自动 pg): [se 08 127.135 
加 自动 检 列 设置 于 按 字 C5) 
pe Pr 


例外 
中 到 对 于 下 列 床 符 开头 8 地 址 不 使 用 代理 服务 器 0) 
| 


合用 分 号 (分隔 各 项 


图 19-5 “局 域 网 (LAN) 设置 ”对 话 框 图 19-6 ”代理 服务 器 设置 
(5) 所 有 设置 完成 后 ， 可 以 单 击 “ 确 定 ” 按 钮 返回 。 


全 注意 : 在 步骤 (2 ) 中， 如 果 采 用 的 是 PPPOE 或 VPN 拨号 等 方式 拨号 后 上 网 的 ， 需要 在 
图 19-4 的 “拨号 和 虚拟 专用 网 络 设置 ”列表 框 中 选择 相应 的 网 络 接口 ， 再 单 击 
右边 的 “设置 ”按钮 ， 则 会 出 现 如 图 19-7 所 示 的 对 话 框 。 对 所 选 的 拨号 连接 进 
行 代理 设置 ， 其 方法 与 局 域 网 代理 设置 类 似 。 


除了 了 I 浏览 器 外 ，RHEL 6 平台 下 的 Konqueror 浏览 器 也 可 以 进行 代理 服务 器 设置 ， 
具体 方法 是 在 工具 栏 上 选择 “系统 ”|“ 首 选项 ”命令 ， 则 会 出 现 如 图 19-8 所 示 的 对 话 框 。 


一 证 = = i | 
自动 配置 
和 本 全 全 大 续 手 动 设置 要 确保 使 用 手动 设置 ， 请 森 用 自动 本 
加 | 
回 使 用 自动 配置 和 本 人) 代理 丰 务 则 本 全 | 四 耻 的 主机 
本 了 直 扶 连 基 到 Internet(R) 
代理 服务 器 


回 对 此 连接 使 用 代理 服务 器 这些 设置 不 会 应 用 到 其 他 连接 ) 0 


地 址 内 口 加 : [0 Ex 


| 

跳 过 本 地 地 址 的 代理 服务 器 中) 安全 HTTP 代理 (G) : ] so: lo 白 
拨号 设置 FTP 代理 (E) : so: [o 自 
用 户 名 0 kjk SOcks EH : ] #9: [0 站 
密码 中) 避 自动 代理 配置 (A) 
域 史 ) a ee 

[3 取消 ET] HE 下 (Dj] [ 关 煞 (C) ] 
图 19-7 拨号 连接 的 代理 设置 图 19-8 “网 络 代理 首选 项 ”对 话 框 
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在 如 图 19-8 所 示 的 对 话 框 中 选择 “手动 配置 代理 服务 器 ”， 就 可 以 在 下 面 的 文本 框 内 
输入 各 种 协议 的 代理 服务 器 IP 地 址 和 端口 号 了 。 输入 完成 后 , 单 击 “关闭 ”按钮 返回 即 可 。 


全 说 明 : 客户 端 浏览 器 代理 设置 完成 后 ， 可 以 查看 浏览 器 是 否 能 够 上 网 ， 如 果 能 正常 上 
网 ， 说 明 19.2.2 节 运行 的 Squid 服务 器 工作 正常 。 


19.3 配置 Squid 服务 器 


Squid 的 功能 非常 丰富 ， 服 务 器 安装 完成 后 ， 所 提供 的 初始 配置 内 容 比 较 简 单 ， 大 部 
分 的 选项 都 是 按 默 认 值 进行 配置 。 为 了 充分 发 挥 Squid 代理 服务 器 的 作用 ， 需 要 根据 实际 
情况 进行 配置 。 本 节 先 介绍 Squid 的 基本 配置 选项 ， 再 介绍 Squid 的 访问 控制 配置 、 缓 存 
配置 、 透 明和 反 向 代理 配置 、 日 志 管 理 等 内 容 。 


19.3.1 Squid 常规 配置 选项 


Squid 的 配置 文件 的 格式 与 其 他 许多 Unix 程序 相似 ， 相 对 比较 规范 ， 每 行 包含 一 项 配 
置 内 容 ， 前 面 是 配置 选项 的 名 称 ， 后 面 跟着 参数 值 或 关键 字 ， 它 们 之 间 用 空格 分 隔 。 在 读 
取 配置 文件 时 ，squid 将 忽略 空 行 和 每 一 行 “#” 后 面 的 注释 。 


入 注意 : 在 Squid 的 配置 文件 中 ， 字 母 大 小 写 的 意义 是 不 同 的 。 


对 于 某 些 取 唯 一 值 的 配置 选项 ， 如 果 在 不 同 的 行 给 予 不 同 的 值 ， 则 后 面 的 值 覆盖 前 面 
的 值 。 如 果 配 置 选 项 可 以 取 多 个 值 ， 则 每 一 个 值 都 有 效 。 取 多 个 值 的 选项 也 可 以 在 同一 行 
中 进行 赋值 。 通 常情 况 下 ， 配 置 文件 中 的 配置 选项 出 现 的 顺序 是 无 关 的 。 但 是 ， 如 果 某 个 
选项 指定 的 值 被 其 他 选项 所 使 用 ， 那 么 次 序 就 很 重要 了 。 例 如 ， 有 关 访 问 控制 的 配置 选项 
次 序 就 很 重要 。 下 面 对 Squid 的 常规 配置 选项 的 例子 进行 解释 。 

配置 1: 

http_port 3128 


功能 : 设置 Squid 服务 器 监听 的 端口 号 为 3128。 

说 明 : TCP 协议 的 3128 号 端口 是 Squid 默认 的 监听 端口 , 也 可 以 设置 为 其 他 值 。 另 外 ， 
Squid 服务 器 可 以 同时 监听 多 个 端口 ， 方 法 是 在 http_port 选项 后 面 放置 多 个 端口 值 ， 并 以 
空格 隔 开 。 也 可 以 用 多 个 http_port 选项 指定 不 同 的 端口 值 。 

配置 2: 

icp port 3130 


功能 : 设置 Squid 服务 器 之 间 共 享 缓存 协议 ICP 使 用 的 端口 为 3130。 

说 明 : ICP 协议 是 专门 用 于 在 代理 服务 器 之 间 交 换 缓存 数据 的 协议 。 通 过 它 ， 一 台 代 
理 服务 器 可 以 查询 和 读 取 另 一 台 代理 服务 器 中 的 缓存 数据 ， 以 响应 客户 的 请 求 。 这 个 端口 
是 UDP 端口 ，3130 也 是 这 个 选项 的 默认 值 。 

配置 3: 


cache effective user squid 
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功能 : 设置 运行 Squid 服务 器 进程 的 用 户 是 squid。 
说 明 : 由 于 某 些 功能 需要 root 权限 才能 完成 ， 因 此 squid 进程 是 由 root 用 户 启动 的 ， 
但 如 果 一 直 以 root 用 户 运行 ， 则 对 主机 的 安全 有 威胁 。 因 此 一 般 在 启动 完成 后 ， 要 指定 另 
个 用 户 来 运行 。 此 处 指定 的 squid 用 户 在 操作 系统 中 必须 要 已 经 存在 。 
配置 4: 
pid filename /var/run/squid.pid 


功能 ;设置 Squid 服务 器 进程 的 PID 文件 的 位 置 与 名 称 。 

说 明 : 进程 PID 文件 由 root 用户 创建 。 

配置 5: 

logformat squid %ts.%03tu %6tr %>a %Ss/%03Hs %<st %rm %ru Sun %Sh/%<A Smt 

access log /var/1og/squid/access.1og squid 

功能 : 定义 名 为 squid 的 日 志 格式 , 并 指定 Squid 的 访问 日 志 为 /var/log/squid/access.log， 
格式 为 squid。 

说 明 ; 访问 日 志 中 记录 了 所 有 客户 端的 访问 请 求 ， 包 括 HTTP 和 ICP 请 求 。 如 果 不 想 
记录 访问 日 志 ， 可 以 设置 为 none。 

配置 6: 


cache mem 8 MB 


功能 :设置 cache 内 存 为 8MB。 

说 明 : 设 定 一 个 squid 能 够 用 多 少 额外 的 内 存 来 缓存 对 象 的 限制 值 ， 如 果 需 要 ， 这 个 
限制 可 能 会 被 突破 。 

配置 7， 


cache dir ufs /var/spool/squid 100 16 256 


功能 ;指定 缓存 目录 的 类 型 是 ufs， 目 录 位 置 是 /var/spool/squid， 大 小 限制 为 100MB， 
第 1 层 子 目录 为 16 个 ， 第 2 层 子 目录 为 256 个 。 

说 明 : 这 是 Squid 服务 器 中 最 基础 的 设置 之 一 ， 它 告诉 squid 以 何 种 方式 存储 缓存 数 
据 到 磁盘 的 什么 位 置 。 一 般 来 说 ， 充 当代 理 服务 器 的 主机 应 该 具有 海量 、 高 速度 的 外 存 ， 
最 常见 的 是 采用 磁盘 阵列 或 大 容量 的 硬盘 。 另 外 ，Squid 在 设计 搜索 缓存 对 象 时 采用 了 
HASH 算法 ， 为 了 加 快速 度 ， 采 用 了 两 级 目录 结构 ， 而 且 每 层 最 少 有 16 个 子 目 录 ， 最 多 
256 个 子 目 录 ， 真 正 的 缓存 数据 存放 在 第 2 层 目录 中 。 

配置 8: 

maximum object size in _ memory 8 KB 

功能 : 设置 Squid 保存 在 内 存 中 的 对 象 最 大 为 SKB 。 

说 明 : 内 存 中 的 对 象 访问 速度 最 快 , 但 内 存 空间 有 限 ， 该 值 要 根据 内 存 大 小 进行 设置 。 

配置 9: 


maximum object size 4096 KB 


功能 : 设置 最 大 的 缓存 对 象 字 节 数 为 4096KB 。 
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说 明 : Squid 服务 器 并 不 是 缓存 所 有 的 Web 对 象 ， 只 有 小 于 该 值 的 对 象 才能 被 缓存 。 
如 果 磁 盘 空 间 很 大 ， 可 以 适当 提高 该 值 。 

配置 10: 

cache swap low 90 

cache swap high 95 

功能 :设置 Squid 缓存 空间 的 使 用 策略 。 以 上 设置 表示 当 缓 存 中 的 数据 占 到 整个 缓存 
大 小 的 95% 以 上 时 ， 将 开始 按 一 定 的 算法 删除 缓存 中 的 数据 ， 直 到 缓存 数据 占 到 整个 缓存 
空间 大 小 的 90% 为 止 。 

说 明 : 这 种 策略 可 以 最 大 限度 地 利用 缓存 空间 ， 但 又 不 至 于 出 现 空间 溢出 的 情况 。 

配置 11: 


cache mgr root 


功能 : 设置 Squid 服务 器 管理 员 用 户 的 E-mail 地 址 。 
说 明 : 当 Squid 服务 器 出 现 故障 时 ， 会 发 送 一 封 电子 邮件 到 该 地 址 。 


19.3.2 Squid 访问 控制 


通过 访问 控制 ，Squid 可 以 保证 自己 所 管理 的 资源 不 被 非法 使 用 和 非法 访问 ， 并 根据 
特定 的 时 间 间 隔 访问 、 缓 存 指定 的 网 站 。Squid 用 于 访问 控制 的 配置 选项 主要 有 两 个 ， 
个 acl， 它 是 Squid 访问 控制 的 基础 ， 用 于 命名 一 些 网 络 资源 或 网 络 对 象 。 另 一 个 是 
http_access， 它 对 acl 命名 的 对 象 进行 权限 控制 ， 允 许 或 拒绝 它们 的 某 些 行为 。acl 选项 的 
格式 如 下 : 


acl name type valuel value2 ... 


其 中 ，name 是 对 象 的 名 称 ， 它 不 能 是 一 些 squid 保留 的 关键 字 。type 是 网 络 对 象 的 类 
型 ， 可 以 是 耳 地 址 、 域 名 、 用 户 名 、 网 络 端口 号 、 协 议 、 请 求 方法 以 及 正则 表达 式 等 ， 还 
有 很 多 其 他 类 型 ， 常 见 类 型 的 名 称 和 含义 见 表 19-1。value 是 指 某 种 类 型 的 网 络 对 象 的 值 。 


表 19-1 常见 的 acl 类 型 


类 型 4 

Src 源 他 地 址 ， 可 以 是 单个 全， 也 可 以 是 地 址 范围 或 子 网 地 址 
dst 目的 下 地址 ， 可 以 是 单个 IP， 也 可 以 是 地 址 范围 或 子 网 地 址 
myip 本 机 网 络 接口 的 卫 地址 


srcdomain | 客户 所 属 的 域 ，Squid 将 根据 客户 IP 地 址 进行 反 向 DNS 查询 
dstdomain | 服务 器 所 属 的 域 ， 与 客户 请 求 的 URL 匹配 


time 表示 一 个 时 间 段 

port 指向 其 他 计算 机 的 网 络 端口 

myport 指向 squid 服务 器 自己 的 网 络 端口 

proto 客户 端 请 求 所 使 用 的 协议 ， 可 以 是 http、https、ftpp、gopher、urm、whois 和 cache_object 等 值 


method HTTP 请 求 方法 ， 如 GET、POST 等 
proxy auth | 由 Squid 自己 认证 的 用 户 名 
url regex | 有 关 URL 的 正则 表达 式 
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定义 和 使 用 acl 对 象 时 ， 要 注意 以 下 几 点 。 

口 某 种 acl 类 型 的 值 可 以 是 同 种 类 型 的 acl 对 象 。 

口 不 同类 型 的 对 象 其 名 称 不 能 重复 。 

口 acl 对 象 的 值 可 以 有 多 个 ， 在 使 用 过 程 中 ， 当 任 一 个 值 被 匹配 时 ， 则 整个 acl 对 象 
被 认为 是 匹配 的 。 

口 当 同 种 类 型 的 对 象 其 名 称 重 复 使 用 时 ，Squid 会 把 所 有 的 值 组 合 到 这 个 名 称 的 对 
象 中 。 

口 对 象 的 值 如 果 是 文件 名 ， 则 该 文件 所 包含 的 内 容 做 为 对 象 的 值 。 此 时 ， 文 件 名 要 
带 双 引 号 。 

下 面 通过 acl 选项 的 具体 例子 来 理解 它 的 格式 和 使 用 方法 。 

示例 1: 

acl worktime time MTWHF 08:00-17:00 

功能 : 将 周一 至 周 五 的 早上 8 点 到 下 午 17:00 命名 为 worktime。 

外 说 明 : 一 个 星期 中 ， 每 一 天 的 英文 单词 的 第 一 个 字母 表示 那 一 天 ， 如 M 表示 星期 一 ，T 

表示 星期 二 等 。 时 间 采 用 24 小 时 制 。 

示例 2: 

acl mynet src 10.10.1.0/24 

功能 : 将 IP 地 址 为 10.10.1.0/24 的 子 网 命名 为 mynet， 使 用 时 ， 要 与 源 地 址 进行 匹配 。 

示例 3: 

acl all dst 0.0.0.0/0.0.0.0 


功能 : 将 所 有 的 地 址 命名 为 all， 使 用 时 ， 与 目的 地 址 进行 匹配 。 
示 僵 4: 


acl aim dstdomain .sina.com.cn .sohu.com .163.com 

功能 : 将 “.sina.com.cn”、“.sohu.com” 和 “.163.com”3 个 域名 的 组 合 定 义 为 aim， 使 
用 时 ， 与 目的 域 进行 匹配 。 

示例 5: 

acl giffile url regex -i \.gifs$ 

功能 : 把 以 .gif 结尾 的 URL 路 径 命名 为 giffile。 

示例 6: 

acl other srcdomain "/etc/squid/other" 

功能 : 把 /etc/squid/other 文件 中 的 内 容 作 为 other 对 象 的 值 ， 类 型 是 源 URL 中 的 域名 。 

示例 7: 


acl safe Port Port 80 
acl safe port port 21 443 


功能 : 将 端口 80、21 和 443 的 组 合 命名 为 safe_port。 
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以 上 是 有 关 ACL 选项 的 使 用 方法 。 定 义 ACL 对 象 的 目的 是 为 了 对 与 这 些 对 象 匹配 的 
请 求 进行 访问 控制 ， 这 个 控制 功能 不 是 由 acl 选项 实现 的 ， 而 是 由 http_access 或 icp_access 
选项 实现 的 。http_access 的 格式 如 下 所 示 。 

示例 8: 


http_access <allowldeny> [!]ACL 对 象 1 [!]ACL 对 象 2 


在 以 上 格式 中 ，allow 表示 允许 ，deny 表示 拒绝 ， 两 者 必须 选 一 。ACL 对 象 是 指 由 acl 
选项 定义 的 网 络 对 象 , 可 以 有 多 个 。“!” 表 示 非 运算 , 即 与 ACL 对 象 相反 的 那些 对 象 。Squid 
处 理 http_access 选项 时 ， 要 把 客户 端的 请 求 与 http_access 选项 中 的 ACL 对 象 进行 匹配 。 
当 请 求 与 每 一 个 ACL 对 象 都 能 匹配 时 ， 则 执行 allow 或 deny 动作 。 只 要 请 求 与 多 个 ACL 
对 象 中 的 一 个 不 匹配 ， 则 这 个 http_access 无 效 ， 不 会 执行 指定 的 动作 。 


全 注意 : 如 果 有 多 个 http_access 选项 ， 则 一 个 请 求 与 其 中 一 个 http_access 匹配 时 ,将 执行 
该 http_access 指定 的 动作 。 如 果 与 所 有 的 http_access 都 不 匹配 ， 则 执行 与 最 后 一 
条 http_access 指定 的 动作 相反 的 动作 。 


下 面 是 儿 个 http_access 选项 的 例子 。 
示例 9: 

acl Tom ident Tom 

http_access allow Tom 


功能 : 只 允许 名 为 Bob 的 用 户 访问 。ident 也 是 acl 选项 的 一 种 类 型 ， 表 示 用 户 。 
示例 10: 


acl All src 0/0 

acl MyNet src 10.20.6.100-10.20.6.200 
acl ProblemHost src 172.16.5.9 
http_access deny ProblemHost 

http access allow MyNet 

httP_access deny All 


功能 : 只 允许 源 地 址 为 10.20.6.100 一 10.20.6.200 的 人 P 使 用 Squid 服务 器 。 
示例 11: 

acl abc src 10.20.163.85 

acl xyz src 10.20.163.86 

acl asd src 10.20.163.87 

acl morning time 06:00-11:00 

acl lunch time 14:00-14:30 

http access allow abc morning 

http_ access allow xyz morning lunch 

http_access allow asd lunch 


功能 : 给 3 个 IP 的 客户 机 分 别 规定 不 同 的 上 网 时 间 。 
Squid 访问 控制 的 功能 非常 强大 ， 以 上 只 是 介绍 了 一 些 常 见 的 用 法 ， 更 多 的 内 容 可 参 
见 Squid 的 文档 和 初始 配置 文件 中 的 解释 。 


19.3.3 ”Squid 多 级 代理 配置 
在 大 型 网 络 中 ， 使 用 一 台 Squid 服务 器 往往 不 能 应 对 日 益 增长 的 网 络 访问 量 ， 需 要 构 
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建 多 级 代理 服务 器 。 多 级 代理 类 似 于 计算 机 集群 ,是 将 一 组 独立 的 代理 服务 器 组 合 在 一 起 ， 
通过 特定 的 缓存 通信 协议 进行 相互 访问 ， 从 而 在 逻辑 上 构成 一 个 具有 更 大 缓存 、 更 强 处 理 
能 力 的 代理 服务 器 。 


全 说 明 : 根据 代理 服务 器 之 间 的 关系 ,可 以 将 多 级 代理 分 为 同 级 结构 、 层 次 结构 和 网 状 结 
构 3 种 类 型 ， 其 中 最 常见 的 是 层次 结构 。 


配置 多 级 代理 需要 使 用 cache _peer 选项 ， 它 的 作用 是 当 自己 的 缓存 中 没有 客户 机 所 请 
求 的 数据 时 ， 将 通过 ICP 协议 向 其 他 代理 服务 器 询问 是 否 有 该 请 求 的 数据 ， 其 格式 如 下 : 


Cache peer hostname type http port icp port options 


其 中 , hostname 是 另 一 台 支 持 ICP 协议 的 代理 服务 器 的 域名 或 IP 地 址 , http_port 是 对 
方 监听 代理 请 求 的 端口 ,而 icp_port 是 对 方 用 于 ICP 协议 的 端口 。type 是 ICP 请 求 的 类 型 ， 
可 以 根据 对 方 的 特点 使 用 parent 或 者 sibling。 

如 果 使 用 parent， 则 会 把 客户 机 的 请 求 送 给 对 方 ， 对 方 的 缓存 中 如 果 有 所 请 求 的 数据 ， 
则 返回 数据 。 如 果 没 有 请 求 的 数据 ， 则 由 对 方 负责 从 目的 Web 服务 器 读 取 数据 。 当 使 用 这 
种 类 型 时 ， 对 方 一 般 位 于 代理 网 络 结构 中 的 上 一 级 ， 也 就 是 离 Internet 更 近 的 地 方 ， 因 此 
比 本 机 能 更 快 地 获得 Internet 中 的 数据 。 

类 型 值 使 用 sibling， 则 不 会 把 客户 端的 请 求 送 给 对 方 ， 只 是 询问 对 方 的 缓存 中 是 否 存 
在 所 请 求 的 数据 。 如 果 存在 ， 则 返回 数据 ， 如 果 不 存在 ， 对 方 并 不 会 负责 向 Internet 上 的 
目的 服务 器 请 求 该 数据 ， 只 是 简单 地 告诉 己方 找 不 到 数据 。 使 用 这 种 类 型 时 ， 对 方 一 般 与 
己方 处 于 网 络 中 的 同等 地 位 。 

常见 的 options 的 值 及 含义 见 表 19-2。 


表 19-2 cache_peer 选项 的 option 值 
选 项 含 义 
proxy-only 表示 从 对 方 得 到 的 数据 不 在 本 地 缓存 ， 默 认 时 是 要 缓存 的 
指定 对 方 的 权重 值 ， 当 存在 多 个 cache_peer 选项 时 ， 将 根据 权重 值 进行 选择 , n 为 
整数 ， 越 大 越 优 先 ， 默 认 时 ， 由 己方 根据 网 络 响应 时 间 决 定 权重 值 
不 向 对 方 发 送 ICP 请 求 ， 而 只 是 发 送 HTTP 代理 请 求 ， 用 于 对 方 不 支持 ICP 或 不 
人 可 用 时 


weight=n 


no-digest 不 使 用 内 存 摘要 表 做 查询 ， 而 是 直接 使 用 ICP 协议 进行 通信 
default 与 no-query 一 起 使 用 ， 当 多 个 peer 都 不 支持 ICP 时 ， 使 用 该 peer 


login=user:passwd | 对 方 需要 认证 时 ， 提 供用 户 名 和 密码 


下 面 是 儿 个 Squid 初始 配置 文件 中 有 关 cache_peer 的 例子 : 


cache peer Parent .foo.net Parent 3128 3130 proxy-only default 
cache Peer sibl.foo.net sibling 3128 3130 proxy-only 
cache peer sib2.foo.net sibling 3128 3130 proxy-only 


在 配置 多 级 代理 时 , 可 以 根据 实际 情况 , 使 用 特定 的 规则 来 选择 不 同 的 父 代 理 服务 器 ， 
从 而 达到 均衡 负载 的 目的 。 此 时 除了 cache_peer 选项 外 ， 还 需要 使 用 cache_peer_domain 
和 cache_peer_access 选项 。 它 们 的 格式 如 下 所 示 : 
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cache peer domain cache-host domain [domain ...] 
cache peer access cache-host allowldeny [!]aclname ... 
前 者 表示 为 某 些 目的 域 指定 其 他 代理 服务 器 ， 后 者 更 具 柔 性， 可 以 与 ACL 对 象 结合 
使 用 。 下 面 是 儿 个 有 关 其 他 代理 服务 器 选择 的 例子 : 


Cache peer edu.foo.net Parent 3128 3130 

cache peer common.foo.net sibling 3128 3130 proxy-only 

cache peer domain edu.foo.net .edu 

cache peer domain common.foo.net leau 

功能 : 指定 parent.foo.net 主机 为 访问 .edu 域 的 客户 端的 代理 服务 器 ，common.foo.net 
主机 为 访问 除 .edu 域 以 外 的 客户 端的 代理 服务 器 。 


19.3.4 透明 代理 配置 


透明 代理 除了 为 内 网 计算 机 提供 外 网 的 访问 服务 外 ， 它 最 大 的 特点 是 不 需要 客户 端 做 
任何 设置 , 但 是 需要 出 口 路 由 器 或 防火 墙 的 配合 。 当 客户 端 访问 外 网 Web 服务 器 的 数据 包 
经 过 防火 墙 时 ， 防 火 墙 应 该 把 该 数据 包 重 定向 到 本 地 代理 服务 器 的 代理 端口 ， 然 后 由 本 地 
代理 服务 器 对 客户 端的 Web 请 求 进行 处 理 或 转发 。 

如 图 19-9 所 示 是 一 种 典型 的 局 域 网 连 入 Internet 的 方案 。 一 台 Linux 主机 承担 防火 墙 
的 工作 ， 并 提供 NAT 服务 。 它 有 两 块 网 卡 ，ethl 与 Internet 连接 ， 使 用 公 网 IP; eth0 与 局 
域 网 连接 ， 使 用 保留 地 址 。 局 域 网 内 的 客户 机 都 使 用 保留 地 址 ， 正 常情 况 下 ， 通 过 Linux 
主机 的 NAT 转换 后 访问 公 网 。 


Linux 主机 时 


图 19-9 配置 例子 透明 代理 时 的 网 络 拓扑 图 


如 果 现 在 要 求 在 Linux 主机 构建 一 台 Squid 代理 服务 器 ， 使 局 域内 所 有 客户 机 访问 外 
网 Web 服务 器 的 请 求 由 它 进 行 处 理 。 如 果 缓 存 中 已 经 有 所 请 求 的 数据 ， 则 直接 响应 ;如果 
没有 请 求 的 数据 ， 则 由 代理 把 请 求 转发 给 目的 Web 服务 器 ， 目 的 Web 服务 器 返回 数据 后 ， 
再 由 代理 转发 给 客户 端 并 存 入 缓存 。 下面 介 绍 在 上 述 网 络 结构 基础 上 , 如 何 配 置 一 台 Squid 
透明 代理 ， 使 客户 机 不 需要 任何 设置 就 可 以 使 用 代理 。Squid 2.6 以 上 版 本 对 透明 代理 的 配 
置 作 了 很 大 的 简化 ， 核 心 内 容 只 需要 添加 下 面 一 行 即 可 : 


http port 3128 transparent 


http_port 选项 前 面 已 经 做 过 介绍 ， 它 用 于 设置 Squid 服务 器 的 监听 端口 。 也 就 是 说 ， 
Squid 从 这 个 端口 接收 客户 端的 代理 请 求 。 但 在 透明 代理 中 ， 代 理 请 求 是 从 防火 墙 iptables 
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转发 过 来 的 ， 客 户 端 并 不 需要 在 浏览 器 中 设置 代理 服务 器 地 址 和 端口 。 

与 前 面 传统 代理 不 一 样 ， 这 里 的 http_port 需要 增加 一 个 参数 transparent， 告 诉 Squid 
从 监听 端口 进来 的 请 求 是 由 防火 墙 转发 的 ， 而 不 是 客户 端 直接 发 送 的 。 此 时 ，Squid 处 理 
这 些 请 求 时 要 与 传统 代理 不 一 样 . 例 如 ,要 通过 主机 头 来 区 分 不 同 的 主机 等 .下 面 是 图 19-10 
中 Linux 主机 上 的 Squid 服务 器 的 完整 配置 例子 : 


http port 3128 transparent # 配置 Squid 为 透明 代理 
access_1og /var/1og/squid/access.1og squid 
hosts_file /etc/hosts  # Squid 中 先 按照 /etc/hosts 文件 对 主机 名 和 IP 地 址 进行 解析 
acl all src 0.0.0.0/0.0.0.0 
acl manager proto cache object 
#cache object 是 squid 自 定义 的 协议 , 用 于 访问 squid 的 缓存 管理 接口 
acl localhost sre 127.0-0-1/255.255s255.255 
acl to localhost dst 127.0.0.0/8 


acl SSL ports port 443 563 # https、snews 端口 

acl SSL ports port 873 # rsync 端口 

acl Safe ports port 80 # http 端口 

A # 此 处 还 有 很 多 Safe_ports, 详 见 例子 配置 文件 
acl Safe ports port 901 # SWAT 端口 


acl purge method PURGE 
# PURGE 是 squid 自 定义 的 HTTP 方法 ,用 于 删除 squid 缓存 中 的 对 象 
acl CONNECT method CONNECT # CONNECT 是 HTTP 协议 中 用 于 代理 的 方法 


# 以 下 两 行 表示 只 有 本 机 才能 使 用 cache_object 协议 
http_access allow manager localhost 
http access deny manager 


# 以 下 两 行 表示 只 有 本 机 才能 使 用 PURGE 方法 
http_access allow purge localhost 
http access deny purge 


http_access deny !Safe ports  # Squid 不 转发 客户 机 对 非 Safe_ports 端口 的 请 求 
http access deny CONNECT !SSL ports 

# Squid 不 转发 客户 机 对 非 SSL_ports 提出 的 连接 请 求 
http access allow localhost # 但 对 本 机 不 作 上 述 限制 


acl lan src 10.0.0.0/8 # 内 网 的 IP 段 是 10.0.0.0/8 
http access allow localhost 
http_access allow lan # 允许 内 网 的 计算 机 进行 HTTP 访问 


http_access deny all 
http_ reply access allow all # 允许 对 所 有 的 客户 机 进行 请 求 的 回复 
icp access allow all # 允许 所 有 的 客户 机 访问 ICP 端口 
visible hostname proxy.wzvtc.edu 
# 设置 对 外 可 见 的 主机 名 , 如 一 些 在 错误 信息 中 出 现 的 主机 名 
always direct allow all # 不 查询 其 他 代理 服务 器 的 缓存 
coredump dir /var/spool/squid # 放置 squid 进程 运行 时 coredump 文件 的 存放 目录 


以 上 配置 中 ， 除 了 第 1 行 与 透明 代理 配置 有 关外 ， 其 余 的 都 可 以 根据 实际 情况 修改 。 
另外 ,透明 代理 的 工作 还 需要 防火 墙 的 配置 ,如 果 在 Linux 主机 上 原来 已 经 配置 好 了 iptables 
防火 墙 ， 并 具有 NATI 功能 ， 现 在 需要 执行 下 面 一 条 命令 : 


iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 
REDIRECT ==to-port 3128 


以 上 命令 表示 把 从 网 络 接口 eth0 收 到 的 TCP 协议 目的 端口 是 80 的 数据 包 重 定向 到 本 
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机 的 3128 号 端口 。 


全 注意 ! 如 果 Squid 是 运行 在 其 他 主机 的 ， 在 iptables 命令 中 还 需要 指名 重 定向 后 的 主机 
地 址 。 


19.3.5 反 向 代理 配置 


反 向 代理 服务 器 的 主要 功能 是 代理 外 部 网 络 上 的 主机 访问 内 部 网 络 。 反 向 代理 主要 为 
一 个 或 儿 个 本 地 网 站 作 缓 存 ， 以 加 快 Web 服务 器 的 响应 速度 , 或 者 代理 外 网 的 计算 机 访问 
内 部 的 服务 器 ， 以 加 强 Web 服务 器 的 安全 。 

当 Internet 上 的 用 户 通 过 浏览 器 发 出 一 个 HTTP 请 求 ， 访 问 被 代理 的 Web 服务 器 时 ， 
通过 域名 解析 ， 这 个 请 求 被 定向 到 反 向 代理 服务 器 ， 反 向 代理 服务 器 根据 缓存 的 情况 或 者 
直接 响应 ， 或 者 转发 给 真正 的 Web 服务 器 。 一 个 反 向 代理 服务 器 可 以 面向 多 个 Web 服务 
器 。 此 时 ， 这 些 Web 服务 器 的 域名 都 要 映射 为 反 向 代理 服务 器 的 IP 地 址 。 反 向 代理 一 般 
只 保留 可 缓存 的 数据 (例如 html 网 页 和 图 片 等 )， 它 根据 从 Web 服务 器 返回 的 HTTP 头 域 
来 缓存 静态 页 面 。 而 一 些 CGI、ASP 等 动态 网 页 则 不 缓存 。 

如 图 19-10 所 示 的 是 一 个 典型 的 反 向 代理 服务 器 的 网 络 拓扑 图 。 反 向 代理 服务 器 上 有 
两 块 网 卡 ， 网 卡 eth0 通过 内 网 与 Web 服务 器 连接 ， 使 用 保留 IP 地 址 ， 另 一 块 网 卡 ethl 连 
接 到 公 网 ， 使 用 公 网 IP 地 址 。 来 自 Internet 的 HTTP 请 求 从 ethl 进入 ， 不 能 直接 与 Web 
服务 器 联系 。 下面 看 一 下 如 何 配置 Squid 成 为 反 向 代理 服务 器 , 使 Internet 上 的 客户 机 可 以 
得 到 Web 服务 器 的 响应 : 


http port 80 defaultsite=192.168.4.50 
cache peer 192.168.4.50 parent 80 0 no-query originserver 


HTTP 连 接 请 求 反 向 代理 


Internet 


Web 服 务 器 群 eth0 | 192.168.4.1 


192.168.4.52 192.168.4.51 192.168.4.50 


图 19-10 ”配置 例子 反 向 代理 时 的 网 络 拓扑 图 


以 上 两 行 是 Squid 有 关 反 向 代理 配置 的 核心 内 容 。 与 前 面 不 一 样 ， 这 里 http_port 指定 
的 是 80 号 端口 ， 也 就 是 HTTP 的 默认 端口 。 之 所 以 这 样 指定 是 因为 作为 反 向 代理 服务 器 ， 
它 接收 的 是 客户 端 对 源 Web 服务 器 请 求 的 原始 数据 包 ， 此 时 数据 包 TCP 头 中 默认 的 目的 
端口 是 80 号 。 因 此 ， 只 有 指定 了 80 号 监听 端口 才能 收 到 客户 端的 请 求 数据 包 。 
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全 说 明 : 在 传统 代理 方式 下 ， 客 户 端 请 求 数据 包 TCP 头 中 的 目的 端口 是 由 客户 端 自己 在 
浏览 器 中 指定 的 ， 而 在 透明 代理 中 ， 目 的 端口 是 由 防火 墙 改写 的 。 因 此 ， 可 以 任 
意 指定 端口 。 


http_port 选项 中 的 defaultsite=192.168.4.50 参数 表示 如 果 客 户 的 请 求 中 没有 主机 头 域 ， 
则 把 该 域 指 定 为 192.168.4.50， 也 就 是 被 代理 的 Web 服务 器 的 耳 地 址 。 另 外 ， 在 Squid2.6 
以 上 版 本 中 , 与 Web 服务 器 进行 联系 的 选项 改 成 了 cache_peer 选项 ,而 不 是 以 前 版 本 中 的 
httpd_accel host 和 httpd_accel _port 选项 。 

上 述 cache peer 选项 表示 如 果 本 机 的 缓存 中 找 不 到 客户 端 请 求 的 数据 ， 将 与 主机 
192.168.4.50 以 parent 类 型 进行 联系 。no-query 表示 不 使 用 ICP 协议 进行 联系 ， 而 是 使 用 
HTTP 协议 进行 联系 ， 联 系 的 端口 是 80 号 。originserver 表示 这 人 台 主 机 是 处 理 请 求 的 源 服务 
器 ， 不 能 再 转发 给 其 他 服务 器 了 ， 此 时 要 使 用 加 速 模式 。 

以 上 介绍 的 是 反 向 代理 服务 器 代理 一 台 Web 服务 器 的 配置 。 在 实际 应 用 中 , 往往 要 求 
一 台 反 向 代理 服务 器 代理 多 台 Web 服务 器 。 这 些 Web 服务 器 相互 之 间 是 独立 的 ， 此 时 的 
配置 要 稍 加 改动 。 下 面 是 一 台 代 理 服务 器 代理 3 台 Web 服务 器 的 配置 例子 : 


http Port 80 vhost 

Cache peer 192.168.4.50 parent 80 0 no-query originserver 

cache peer 192.168.4.51 parent 80 0 no-query originserver 

Cache peer 192.168.4.52 parent 80 0 no-query originserver 

此 时 , 除了 要 用 cache_peer 选项 定义 3 台 主 机 为 peer 外 , 最 重要 的 是 http_port 选项 中 
要 增加 vhost 参数 ， 它 表示 使 用 主机 头 域 对 目的 服务 器 进行 访问 。 另 外 ， 此 时 这 3 台 Web 
服务 器 对 外 网 的 域名 解析 都 应 该 指向 反 向 代理 服务 器 的 外 网 IP 地 址 , 而 反 向 代理 服务 器 应 
该 把 这 3 个 域名 解析 成 相应 的 内 网 IP 地 址 。 


19.3.6 ”Squid 日 志 管 理 


Squid 的 日 志 功能 非常 强大 ， 包 含 了 很 多 的 日 志文 件 ， 这 些 日 志文 件 除 了 记录 服务 器 
进程 的 运行 情况 外 ,还 记录 了 用 户 的 访问 情况 、 缓 存 的 存储 状况 、 缓 存 的 访问 情况 等 内 容 。 
利用 Squid 日 志 ， 管 理 员 可 以 实时 、 准 确 地 了 解 Squid 服务 器 的 运行 状态 ， 并 对 用 户 操作 
习惯 、 绥 存 的 使 用 情况 进行 分 析 ， 从 而 优化 Squid 服务 器 的 性 能 : 

logformat squid %ts.%03tu %6tr %>a %$Ss/%03Hs %<st %rm Sru %Sun %Sh/%<A Smt 

access_1og /var/1og/squid/access.1og squid 

在 前 面 的 基本 配置 中 ， 已 经 对 上 面 两 个 选项 的 含义 进行 了 解释 ， 指 出 access_log 选项 
定义 了 访问 日 志文 件 的 位 置 以 及 记录 格式 ，logformat 指定 了 某 种 日 志 格式 的 名 称 。 下 面 对 
例子 中 logformat 选项 指定 要 记录 的 内 容 进行 解释 。 

%ts.%03tu 表示 记录 请 求 完成 时 间 ， 以 Unix 纪元 (UTC 1970-01-01 00:00:00) 为 基点 ， 
%ts 表示 相对 Unix 纪元 的 秒 数 ，%03tu 表示 3 个 宽度 的 毫秒 数 。 其 中 ,“.” 是 写 入 日 志 的 
固定 符号 ， 使 用 这 种 表示 方法 的 目的 是 为 了 简化 某 些 日 志 处 理 程序 的 工作 ， 但 会 影响 人 工 
可 读 性 。 

%6tr 表示 响应 时 间 。 对 HTTP 请 求 来 说 ， 这 个 值 表明 Squid 处 理 请 求 所 花 的 时 间 。 从 
Squid 接受 到 HTTP 请 求 时 开始 计时 ， 在 响应 完全 送出 后 计时 终止 ， 响 应 时 间 是 以 毫秒 为 
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单位 的 。 对 ICP 查询 来 说 ， 响 应 时 间 通 常 是 0， 这 是 因为 Squid 响应 ICP 查询 时 非常 快速 ， 
以 至 于 有 可 能 完成 一 个 请 求 时 系统 还 没有 更 新 进程 时 钟 。 

%>a 表示 记录 客户 端 地 址 。 这 个 域 包 含 了 客户 端的 IP 地址 ， 如 果 开 启 了 log_fqdn 选 
项 ， 则 会 记录 客户 端的 主机 名 。 另 外 ， 出 于 安全 或 隐私 的 原因 ， 可 以 使 用 client_netmask 
选项 来 隐藏 客户 端 卫 地 址 的 一 部 分 。 

%Ss/%03Hs 表示 记录 请 求 结果 和 状态 码 。 请 求 结果 码 %Ss 说 明 Squid 处 理 请 求 时 ， 该 
请 求 是 否 命中 了 缓存 、 对 象 是 否 进行 了 更 新 等 结果 ， 这 里 的 编码 是 Squid 专 有 的 ， 它 把 事 
务 结果 进行 了 归 类 。 以 TCP_ 开头 的 编码 指 HTTP 请 求 ， 以 UDP 开头 的 编码 指 ICP 查询 。 
%03Hs 表示 记录 HTTP 响应 状态 码 ， 如 200、304、500 等 ， 它 一 般 来 自 原始 服务 器 。 

%<st 表示 记录 传输 的 字 节 数 。 它 是 Squid 告诉 TCP/IP 协议 栈 发 送 给 客户 端 数 据 的 字 
节 数 ， 并 不 是 客户 端 主机 实际 收 到 的 字 节 数 。 因 为 传输 这 些 数据 时 ， 还 要 加 上 TCP/IP 头 
部 ， 所 以 实际 传输 的 字 节 数 要 大 。 

%rm 表示 记录 请 求 方法 。 方 法 的 名 称 可 以 是 HTTP 请 求 中 的 GET、PUT 等 ， 但 由 于 
Squid 客户 端 也 可 能 使 用 ICP 协议 ， 因 此 以 ICP_ QUERY 表示 ICP 请 求 。 

%ru 表示 记录 客户 端 请 求 的 URI。Squid 某 些 情况 下 会 采用 特殊 的 记录 格式 ， 例 如 当 
Squid 不 能 解析 HTTP 请 求 ， 或 者 不 能 决定 URI 时 ， 将 把 字符 串 error:invalid-request. 记 录 
在 这 个 位 置 。 默 认 情况 下 ，Squid 记录 时 会 删 掉 第 1 个 问号 之 后 的 所 有 ， 但 如 果 禁 用 
strip_query_terms 选项 时 将 不 这 样 做 。 

%un 表示 记录 客户 端 用 户 身份 。Squid 用 两 种 不 同 的 方法 来 决定 用 户 的 身份 ， 一 种 是 
根据 RFC1413 身份 认证 协议 ， 另 一 种 是 根据 HTTP 验证 头 部 。 如 果 两 者 都 给 Squid 提供 一 
个 用 户 名 ， 并 且 使 用 了 原始 的 access.log 格式 时 ， 将 保留 HTTP 验证 用 户 名 ，RFC1413 用 
户 名 会 被 忽略 掉 。 但 普通 日 志文 件 格式 会 把 两 者 都 记录 下 来 。 

%Sh/%<A 表示 记录 peer 主机 的 信息 。Squid 查询 其 他 代理 服务 器 的 缓存 时 ， 那 台 代 理 
服务 器 称 为 peer， 这 里 记录 的 是 Squid 请 求 的 方式 和 peer 主机 地 址 。 

%mt 表示 记录 MIME 类 型 。 此 处 的 MIME 指 的 是 原始 HTTP 响应 的 媒体 类 型 。Squid 
从 服务 器 响应 的 Content-Type 头 域 获取 内 容 类 型 值 。 如 果 该 头 域 不 存在 ，Squid 将 使 用 一 
个 横 杠 代替 。 

另外 ，squid.conf 还 有 几 个 与 日 志 有 关 的 选项 ， 下 面 对 这 些 选 项 再 作 一 下 解释 。 

选项 1: 

cache_1og /var/1og/squid/cache.1og 


功能 : 指定 有 关 缓 存 信息 日 志 的 文件 名 和 路 径 。 这 个 文件 包含 了 缓存 的 起 始 配置 信息 、 
分 类 的 错误 信息 等 内 容 。 当 发 现 一 个 Web 站 点 通过 代理 访问 有 问题 的 时 候 ， 这 个 日 志 里 面 
的 条 目 对 问题 的 解决 可 能 有 潜在 的 帮助 。 

选项 2: 

cache_store_1og /var/1og/squid/store.1og 


功能 : 指定 对 象 存储 记录 日 志 的 文件 名 和 路 径 。 该 日 志 记录 哪些 对 象 被 写 到 缓存 空间 ， 
哪些 对 象 被 从 缓存 空间 清除 。 这 个 日 志 的 用 处 不 是 很 大 ， 一 般 只 在 调试 时 使 用 。 
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选项 3: 


cache_ swap_log /var/spool/squid /cache swap.1log 


功能 :该 选项 指明 每 个 交换 日 志 的 文件 名 和 路 径 。 该 日 志文 件 包含 存储 在 交换 空间 里 
的 对 象 的 元 数据 。 通 常 ， 系 统 把 该 文件 自动 保存 在 第 1 个 cache _dir 所 定义 的 顶级 目录 里 ， 
但 也 可 以 指定 到 其 他 地 方 。 需 要 注意 的 是 ， 这 类 日 志文 件 最 好 不 要 删除 ， 否 则 squid 将 可 
能 不 能 正常 工作 。 

选项 4: 

debug options ALL,1 


功能 : 控制 日 志 记 录 内 容 的 多 与 少 。 第 1 个 参数 决定 对 哪些 行为 作 记录 ，ALL 表示 对 
所 有 的 行为 作 记 录 。 第 2 个 参数 决定 记录 每 种 行为 时 的 详细 程度 ，1 表示 详细 程度 最 低 。 

选项 $: 

1og_fqdn off 

功能 :控制 access.log 日 志 中 客户 机 地 址 的 记录 方式 。 该 选项 为 on 时 ，Squid 试图 记 
录 客 户 机 的 完整 域名 ， 此 时 会 增加 系统 的 负担 。 当 该 选项 设 为 off 时 ，Squid 只 记录 客户 机 
的 他 地 址 。 


19.4 小 结 


不 论 对 服务 器 还 是 客户 端 来 说 ， 使 用 代理 可 以 提高 速度 ， 并 对 保证 计算 机 的 安全 很 有 
帮助 。 本 章 首 先 讲述 了 代理 服务 器 的 工作 原理 、 特 点 、 代 理 方式 等 内 容 ， 然 后 以 Squid 为 
例 ， 介 绍 了 代理 服务 器 的 架设 方法 ， 包 括 Squid 软件 的 安装 、 运 行 和 使 用 方法 ， 以 及 各 种 
代理 方式 的 配置 方法 。 
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随 着 网 络 规模 的 增 大 ， 网 络 的 管理 变 得 越 来 越 复 杂 。 目 录 服 务 由 于 灵活 方便 、 安 全 可 
靠 、 支 持 分 布 式 环境 等 优点 ， 逐 渐 从 提供 公共 查询 服务 的 角色 变 为 网 络 资源 管理 的 平台 ， 
并 成 为 网 络 智 能 化 管理 的 一 种 基础 服务 。 本 章 主要 介绍 目录 服务 的 概念 ， 常 见 的 目录 服务 
种 类 ，LDAP 目录 服务 的 安装 、 使 用 、 配 置 和 管理 等 内 容 。 


20.1 目录 服务 概述 


从 本 质 上 讲 ， 目 录 服 务实 际 上 就 是 一 种 信息 查询 服务 ， 它 采用 客户 端 /服务 器 结构 ， 使 
用 树 状 结构 的 目录 数据 库 来 提供 信息 查询 服务 。 目 录 服 务 在 网 络 信息 的 组 织 和 查询 、 网 络 
本 身 的 资源 管理 等 方面 得 到 了 广泛 的 应 用 。 下 面 介绍 有 关 目 录 服 务 的 概念 、X.500 目录 服 
务 、LDAP 目录 服务 以 及 常见 的 目录 服务 产品 。 


20.1.1 目录 服务 


在 UNIX 系统 中 ， 所 有 的 资源 都 是 以 文件 的 形式 来 管理 的 ， 为 了 管理 、 存 储 的 方便 ， 
人 们 把 文件 分 到 目录 中 存放 。UNIX 的 目录 是 一 种 树 状 结构 ， 目 录 中 包含 了 文件 和 子 目录 ， 
目录 和 文件 的 安全 通过 访问 权限 进行 控制 。UNIX 中 的 目录 实际 上 是 目录 服务 中 提 到 的 目 
录 的 一 个 子 集 ， 作 为 一 种 网 络 协议 的 目录 服务 协议 DAP (Directory Access Protocol)， 远 比 
UNIX 文件 系统 的 目录 要 复杂 ， 其 功能 和 安全 性 能 要 强 得 多 。 


全 说 明 ; 所 谓 的 目录 实际 上 就 是 一 个 数据 库 , 在 这 个 数据 库 里 存储 了 有 关 网 络 资源 的 信息 ， 
包括 资源 的 位 置 、 管 理 等 。 


与 常用 的 关系 数据 库 相 比 ， 目 录 更 容易 为 用 户 提供 高 效 的 查询 。 目 录 中 的 数据 读 取 和 
查询 效率 非常 高 ， 比 关系 型 数据 库 可 以 快 一 个 数量 级 。 但 是 目录 的 数据 写 入 效率 较 低 ， 适 
用 于 数据 不 需要 经 常 更 新 ， 但 需要 频繁 读 取 的 场合 。 例 如 ， 利 用 目录 存储 电子 邮件 系统 的 
用 户 信息 ， 就 是 一 个 很 典型 的 应 用 例子 。 

在 目录 数据 库 中 ， 数 据 信息 是 以 树 状 的 层次 结构 来 描述 的 。 这 种 模型 与 众多 行业 中 的 
业务 组 织 结构 完全 一 致 。 例 如 政府 部 门 、 行 政事 业 单位 和 各 类 企业 的 机 构 设 置 、 人 员 和 资 
源 的 组 织 方式 等 ， 都 是 以 树 状 层次 结构 进行 组 织 的 。 由 于 现实 世界 中 资源 的 分 布 形式 很 多 
都 是 属于 层次 结构 的 ， 因 此 ， 采 用 目录 数据 库 技术 的 信息 系统 就 能 够 更 容易 地 与 实际 的 业 
务 模式 相 匹配 。 

目录 服务 是 网 络 服务 的 一 种 ， 它 把 管理 网 络 时 所 需要 的 信息 按照 层次 结构 关系 构造 成 
一 种 树 形 结构 , 并 将 这 些 信息 存储 于 目录 数据 库 中 , 然后 为 用 户 提供 有 关 这 些 信息 的 访问 、 
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查询 等 服务 。 或 者 说 ， 目 录 服 务实 际 上 就 是 一 种 信息 查询 服务 ， 这 些 信息 存在 于 树 状 结构 
的 目录 数据 库 中 。 目 录 服 务 既 面向 网 络 管理 ， 也 面向 最 终 用 户 。 随 着 网 络 中 资源 数量 的 增 
多 ， 目 录 服 务 也 变 得 越 来 越 重要 。 

含有 目录 数据 库 ， 提 供给 用 户 查 询 、 使 用 信息 的 计算 机 就 是 目录 服务 器 。 向 目录 服务 器 
进行 信息 查询 、 访问 目录 数据 库 的 计算 机 就 是 目录 服务 客户 机 。 目 录 服 务 器 主要 用 来 实现 整 
个 网 络 系统 中 各 种 资源 的 管理 ， 作 为 网 络 的 一 种 基础 架构 ， 目 录 服 务 器 主要 具有 以 下 功能 。 

口 按照 网 络 管理 员 的 指令 ， 强 制 实施 安全 策略 ， 以 保证 目录 信息 的 安全 。 

口 目录 数据 库 可 以 分 布 在 一 个 网 络 的 多 台 计 算 机 中 ， 以 提高 响应 速度 。 

口 复制 目录 ， 以 使 更 多 的 用 户 可 以 使 用 目录 ， 同 时 提高 可 靠 性 和 稳定 性 。 

口 将 目录 划分 为 多 个 数据 源 〈 存 储 区 ) ， 以 便 存储 大 量 对 象 。 

历史 上 ， 目 录 服 务 主要 用 于 命名 和 定位 网 络 资源 。 现 在 ， 这 些 功 能 得 到 了 扩展 ， 目 录 
服务 也 变 成 了 Intemet/Intranet 基础 结构 中 的 一 个 重要 组 件 ， 提 供 类 似 白 页 、 黄 页 之 类 的 服 
务 。 目 录 服 务 在 应 用 程序 集成 方面 所 起 的 作用 也 越 来 越 重要 ， 它 可 以 为 应 用 程序 工作 过 程 
中 需要 或 产生 的 很 多 数据 提供 中 央 存 储 库 。 例 如 ， 使 用 目录 服务 ， 可 以 达到 在 不 同 的 邮件 
系统 之 间 共 享 邮件 用 户 的 目的 。 

目前 ， 越 来 越 多 的 应 用 程序 都 提供 了 对 目录 服务 的 支持 ， 它 们 利用 目录 服务 进行 用 户 
身份 验证 和 授权 、 命 名 和 定位 ， 以 及 网 络 资源 的 控制 与 管理 。 此 时 ， 目 录 被 看 作 是 一 个 具 
有 特殊 用 途 的 自 定义 数据 库 ， 只 要 能 够 与 目录 服务 器 建立 连接 ， 用 户 和 应 用 程序 便 可 以 按 
自己 的 权限 轻松 地 查询 、 读 取 、 添 加 、 删 除 和 修改 数据 库 内 容 ， 然 后 ， 修 改 后 的 内 容 便 可 
以 自动 地 分 布 到 网 络 中 的 其 他 目录 服务 器 。 


20.1.2 X.500 简介 


X.500 是 由 国际 标准 化 组 织 制订 的 一 套 目 录 服 务 标准 ， 它 是 一 个 协议 族 ， 定 义 了 一 个 
机 构 如 何在 全 局 范围 内 共享 名 称 和 与 名 称 相 关联 的 对 象 。 通 过 它 ， 可 以 将 局 部 的 目录 服务 
连接 起 来 ， 构 成 基于 Internet 的 分 布 在 全 球 的 目录 服务 系统 。X.500 采用 层次 结构 ， 其 中 的 
管理 域 可 以 提供 这 些 域内 的 用 户 和 资源 信息 ， 并 定义 了 强大 的 搜索 功能 使 得 获取 这 些 信息 
变 得 简单 。 

X.500 目录 服务 是 一 个 非常 复杂 的 信息 存储 机 制 ， 包 括 客户 机 -目录 服务 器 访问 协议 、 
服务 器 -服务 器 通信 协议 、 完 全 或 部 分 的 目录 数据 复制 、 服 务 器 链 对 查询 的 响应 、 复 杂 搜 寻 
的 过 滤 功 能 等 。X.500 协议 族 中 的 核心 协议 X.519 包含 了 以 下 内 容 。 

口 DAP: 目录 访问 协议 ， 定 义 服务 器 和 客户 机 之 间 的 通信 标准 。 

口 DSP: 目录 系统 协议 ， 定 义 两 个 或 多 个 目录 系统 代理 间 、 目 录用 户 代 理 和 目录 系统 

代理 间 的 交互 操作 。 

口 DISP: 目录 信息 映像 协议 ， 定 义 如 何 将 选 定 的 信息 在 服务 器 之 间 进 行 复制 。 

口 DOP: 目录 操作 绑 定 协议 ， 定 义 服务 器 之 间 自 动 协商 连接 配置 的 机 制 。 

此 外 ，X.500 协议 族 还 有 以 下 组 成 部 分 。 

口 X.501: 模型 定义 ， 定 义 目录 服务 的 基本 模型 和 概念 ; 

口 X.509: 认证 框架 ， 定 义 如 何 处 理 目 录 服 务 中 客户 和 服务 器 认证 ; 

口 X.511: 抽象 服务 定义 ， 定 义 X.500 提供 的 服务 原 语 ; 

口 X.518: 分 布 式 操作 过 程 定义 ， 定 义 如 何 跨 平 台 处 理 目录 服务 ; 
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口 X.520: 定义 属性 类 型 和 数据 元 素 ; 

口 X.521: 定义 对 象 类 ; 

口 X.525: 定义 在 多 个 服务 器 之 间 的 复制 操作 ; 

口 X.530: 定义 目录 管理 系统 的 使 用 。 

在 X.500 标准 中 ， 目 录 数 据 库 采用 分 散 管理 ， 运 行 目录 服务 的 每 个 站 点 只 负责 本 地 目 
录 部 分 。 因 此 ， 客 户 端 要 求 的 数据 更 新 操作 马上 能 完成 ， 管 理 维护 操作 能 立即 生效 。X.500 
还 提供 强大 的 搜索 性 能 ， 支 持 由 用 户 创建 的 任意 的 复杂 查询 。 

与 DNS 类 似 , X.500 采用 单一 的 全 局 命名 空间 , 能 保证 数据 库 命名 的 唯一 性 , 但 X.500 
的 命名 空间 更 灵活 且 易 于 扩展 。X.500 目录 中 事先 定义 了 信息 的 结构 ， 而 且 人 允许 进行 本 地 
扩展 。 由 于 X.500 可 以 用 于 建立 一 个 基于 标准 的 目录 数据 库 ， 因 此 ， 所 有 访问 目录 数据 库 
的 应 用 程序 都 能 识别 数据 库 中 的 数据 内 容 ， 从 而 获得 有 价值 的 信息 。 


全 说 明 : 由 于 当初 制订 目录 访问 协议 DAP 时 ， 是 按照 复杂 的 ISO/OSI 七 层 协议 模型 中 的 
应 用 层 进行 制订 的 ， 因 此 对 相关 层 协 议 环境 提出 了 过 多 的 要 求 。 由 于 ISO/OSI 网 
络 模型 并 没有 真正 被 实现 ， 实 际 的 网 络 中 使 用 的 基本 上 都 是 TCP/IP 协议 。 因 此， 
更 使 得 这 种 协议 越 来 越 不 适应 需要 。 


20.1.3 轻 量 级 目录 访问 协议 LDAP 


X.500 虽然 是 一 个 完整 的 目录 服务 协议 ， 被 公认 为 是 实现 目录 服务 的 最 好 途径 。 但 由 
于 过 于 复杂 等 原因 ， 使 得 它 在 实际 的 应 用 过 程 中 存在 着 不 少 障碍 。 目 前 ，X.500 主要 运行 
在 UNIX 机 器 上 ， 而 且 支 持 的 应 用 程序 非常 少 。 


1. LDAP 概况 


为 解决 X.500 过 于 复杂 的 问题 ,美国 密 黎 根 大 学 按照 X.500 的 DAP 协议 推出 了 一 种 简 
化 的 DAP 新 版 本 ， 称 为 LDAP (Lightweight Directory Access Protocol， 轻 量 级 目录 访问 协 
议 )。LDAP 主要 在 基于 TCP/IP 协议 的 Internet/Intranet 上 使 用 。LDAP 具有 很 多 与 DAP 类 
似 的 功能 ， 能 用 来 查询 私有 目录 和 公开 的 X.500 目录 上 的 数据 。 由 于 Internet 的 迅速 发 展 ， 
LDAP 得 到 了 包括 大 多 数 主 要 的 电子 邮件 和 目录 服务 软件 供应 商 的 支持 ，LDAP 已 迅速 发 
展 成 为 Internet 上 目录 服务 协议 的 事实 标准 。 

当前 最 新 的 LDAP 第 3 版 主要 由 RFC2251 和 RFC2252 描述 。 它 定义 了 LDAP 客户 机 
和 服务 器 之 间 进 行内 容 交 换 时 所 采用 的 消息 模式 , 包括 客户 机 的 查询 、 修 改 、 删 除 等 操作 ， 
服务 器 对 客户 机 相应 的 应 答 ， 以 及 消息 的 内 容 格式 。 由 于 LDAP 消息 通过 TCP/IP 协议 进 
行 传输 ， 因 此 协议 中 还 描述 了 客户 机 和 服务 器 之 间 如 何 建立 和 关闭 连接 。 


2. LDAP 特点 


LDAP 目录 存储 和 组 织 的 基本 数据 结构 称 为 条 目 ， 每 个 条 目 都 有 一 个 唯一 的 识别 符 ， 
并 包含 一 至 多 个 属性 。 条 目 依据 识别 符 被 加 入 到 一 个 树 状 结构 中 ， 组 成 一 棵 目录 信息 树 。 
通过 目录 信息 树 ， 可 以 很 方便 地 将 条 目 信息 分 布 到 不 同 的 服务 器 。 当 用 户 到 某 台 LDAP 服 
务 器 查询 信息 时 ， 如 果 查 不 到 ， 则 会 通过 一 种 参照 链接 功能 ， 将 查询 指引 到 可 能 包含 有 相 
应 信息 的 服务 器 上 。 
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LDAP 目录 实际 上 是 一 种 数据 库 ， 但 与 用 户 平常 使 用 的 关系 数据 库 有 较 大 的 差别 。 
LDAP 目录 的 读 操 作用 得 很 频繁 ， 但 写 操作 不 常 使 用 ， 因 此 存储 LDAP 数据 时 ， 已 经 为 读 
取 操 作 做 了 相应 的 优化 。 另 外 ，LDAP 还 提供 了 比 SQL 语句 更 简单 和 优化 的 方式 进行 目录 
数据 的 存 取 操作 。LDAP 目录 提供 了 一 种 经 济 的 方式 用 于 实现 大 型 分 布 式 环境 下 的 数据 取 
存 操作 , 但 通常 不 支持 事务 操作 。 因 此 , 不 适合 在 那些 需要 严格 的 数据 一 致 性 的 场合 使 用 。 

LDAP 目录 服务 的 主要 功能 是 提供 分 布 式 存 取 服务 ， 它 的 3 个 要 素 ， 信 息 内 容 、 客 户 
机 位 置 和 服务 器 分 布 情况 ， 都 是 相互 无 关 的 。 在 网 络 中 构建 了 LDAP 目录 服务 后 ， 几 乎 所 
有 计算 机 平台 上 的 应 用 程序 都 可 以 很 方便 地 从 LDAP 目录 中 获取 信息 。 在 日 常 应 用 中 ， 
LDAP 目录 可 能 存放 着 各 种 类 型 的 数据 ， 例 如 Email 地 址 、 人 事 信息 、 公 用 密 钥 、 通 信和 录 
等 。LDAP 已 经 成 为 系统 集成 中 的 一 个 重要 环节 ， 可 以 简化 用 户 在 企业 内 部 网 络 中 信息 查 
询 的 步骤 ， 而 且 数据 存放 的 位 置 可 以 非常 灵活 。 

LDAP 协议 是 跨 平台 的 标准 协议 ， 可 以 在 任何 计算 机 平台 上 使 用 ，LDAP 目录 可 以 存 
放 在 任何 服务 器 上 ， 应 用 程序 也 可 以 很 容易 地 加 上 对 LDAP 的 支持 。 实 际 上 ，LDAP 确实 
已 经 得 到 了 业界 的 广泛 认同 ， 成 为 了 事实 上 的 Internet 标准 ， 各 种 软件 生产 商都 很 乐意 在 
产品 中 加 入 对 LDAP 的 支持 。 

大 多 数 的 LDAP 服务 器 安装 起 来 都 很 简单 ， 也 容易 维护 和 优化 。LDAP 服务 器 还 有 一 
种 特殊 的 功能 ， 即 可 以 使 用 “ 推 ” 或 “ 拉 ” 的 方法 复制 部 分 或 全 部 数据 。 复 制 技术 是 内 置 
在 LDAP 服务 器 中 的 , 而 且 很 容易 配置 。 同 样 的 功能 如 果 要 在 DBMS 中 实现 , 一 般 要 支付 
额外 的 费用 ， 而 且 也 很 难 管理 。 

用 户 可 以 使 用 ACL 访问 控制 列表 对 LDAP 服务 器 中 的 数据 进行 安全 管理 ，ACL 是 一 
种 灵活 方便 的 用 户 访问 权限 控制 方法 ,在 很 多 其 他 类 型 的 系统 中 都 有 类 似 的 应 用 。ACL 功 
能 都 是 由 LDAP 目录 服务 器 实现 的 ， 客 户 端 应 用 程序 只 需要 按照 规则 使 用 即 可 。 


全 说 明 ; 与 LDAP 目录 不 同 的 是 ,各 种 关系 数据 库 之 间 是 互 不 兼容 的 ， 软件 生 产 商 不 能 使 
用 一 种 统一 的 方法 操作 所 有 的 数据 库 。 


20.1.4 LDAP 的 基础 模型 


在 LDAP 协议 中 ， 定 义 了 下 面 4 种 基本 的 模型 。 

口 信息 模型 :描述 LDAP 目录 的 信息 表示 方式 及 数据 的 存储 结构 。 

口 命名 模型 描述 数据 在 LDAP 目录 中 如 何 进 行 组 织 与 区 分 。 

口 功能 模型 : 描述 可 以 对 LDAP 目录 进行 哪些 操作 。 

口 安全 模型 : 描述 如 何 保证 LDAP 目录 中 数据 的 安全 。 

信息 模型 描述 了 LDAP 目录 的 信息 表示 方式 及 数据 的 存储 结构 。LDAP 目录 中 最 基本 
数据 存储 单元 是 条 目 ， 条 目 代表 了 现实 世界 中 的 人 、 公 司 等 实体 ， 以 树 状 的 形式 组 织 。 当 
条 目 创建 时 ， 必 须 属 于 某 个 或 多 个 对 象 类 (Object Class)， 每 个 对 象 类 包含 了 一 个 或 多 个 
属性 ， 某 些 属性 必须 要 为 它 提供 一 个 或 多 个 值 ， 而 且 要 符合 所 指定 的 语法 和 匹配 规则 。 当 
定义 对 象 和 属性 类 型 时 ， 均 可 以 使 用 类 的 继承 的 概念 。 

在 LDAP 协议 中 ， 将 对 象 类 型 、 属 性 类 型 、 属 性 的 语法 和 匹配 规则 统称 为 模式 
(Schema)。 在 关系 数据 中 , 输入 表 的 内 容 前 ， 必 须要 先 定义 表 的 结构 ， 确 定 列 名 、 列 类 型 ， 
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以 及 索引 等 内 容 ，LDAP 中 的 模式 就 相当 于 关系 数据 库 中 的 表 结 构 。LDAP 协议 定义 了 一 
些 标准 的 模式 ， 还 有 一 些 模式 是 为 不 同 的 应 用 领域 制订 的 ， 用 户 也 可 以 根据 自己 的 需要 定 
义 自己 的 模式 。 

命名 模型 实际 上 就 是 LDAP 中 条 目的 定位 方式 。 在 LDAP 中 ， 每 个 条 目 都 有 一 个 DN 
和 RDN，DN 是 该 条 目 在 整个 树 中 的 唯一 标识 ， 相 当 于 Linux 文件 系统 中 的 绝对 路 径 。 每 
个 条 目 节 点 下 的 所 有 子 条 目 也 有 一 个 唯一 标识 , 这 个 唯一 标识 称 为 RDN， 相当 于 文件 系统 
中 文件 或 子 目 录 名 称 。 在 文件 系统 中 ， 每 个 目录 下 的 文件 和 子 目 录 名 称 也 是 唯一 的 。 

功能 模型 定义 LDAP 中 的 有 关 数 据 的 操作 方式 ， 类 似 于 关系 数据 库 中 的 SQL 语句 ， 
LDAP 定义 了 3 类 标准 的 操作 ， 每 类 操作 还 包含 子 操作 ， 具 体内 容 如 下 所 示 。 

口 查询 类 操作 : 包括 搜索 和 比较 两 种 操作 。 

口 更 新 类 操作 : 包括 添加 条 目 、 删 除 条 目 、 修 改 条 目 和 修改 条 目 名 4 种 操作 。 

口 认证 类 操作 : 包括 绑 定 、 解 绑 定 和 放弃 3 种 操作 。 

口 其 他 操作 :包括 一 些 扩展 操作 。 

除了 上 述 9 种 LDAP 的 标准 操作 ， 还 有 一 些 扩展 的 操作 ， 这 些 扩展 操作 有 的 已 经 由 最 
新 的 RFC 文档 定义 ， 有 的 是 LDAP 厂商 自己 的 扩展 。 

安全 模型 定义 了 LDAP 中 的 安全 机 制 ， 包 括 身份 认证 、 安 全 通道 和 访问 控制 3 个 方面 
的 内 容 。 身 份 认证 又 包括 3 种 方式 ， 即 匿名 、 基 本 认证 和 SASL 认证 。 匿 名 认证 即 不 对 用 
户 进行 认证 ， 相 当 于 FTP 中 的 匿名 用 户 ， 这 种 方式 只 对 完全 公开 的 目录 适用 。 基 本 认证 均 
是 通过 用 户 名 和 密码 进行 身份 识别 , 密码 又 分 为 简单 密码 和 摘要 密码 。 SASL 认证 是 在 SSL 
和 TLS 安全 通道 基础 上 进行 的 身份 认证 方式 ， 例 如 采用 数字 证 书 等 。 

LDAP 协议 支持 SSL/TLS 的 安全 连接 .SSL/TLS 基于 PKI 信息 安全 技术 , 是 目前 Internet 
上 广泛 采用 的 一 种 安全 协议 。LDAP 通过 StartTLS 方式 启用 TLS 服务 ， 可 以 保证 通信 时 数 
据 的 保密 性 和 完整 性 。TLS 协议 可 以 强制 客户 端 使 用 数字 证 书 认证 ， 实 现 对 客户 端 和 服务 
器 端 身份 的 双向 验证 。 

LDAP 协议 提供 的 访问 控制 功能 非常 灵活 和 丰富 。 在 LDAP 中 是 基于 访问 控制 策略 语 
名 来 实现 访问 控制 的 ， 用 户 数据 管理 和 访问 标识 是 一 体 的 ， 应 用 不 需要 关心 访问 控制 的 
实现 。 


全 说 明 : 在 关系 型 数据 库 中 ， 用 户 数据 管理 和 数据 库 访 问 标 识 是 分 离 的 ， 复 杂 的 数据 访问 
控制 需要 通过 应 用 来 实现 。 


20.1.5 ”流行 的 LDAP 产品 

目前 ， 很 多 的 公司 推出 了 支持 LDAP 协议 的 产品 ， 比 较 知 名 的 主要 有 以 下 儿 个 。 

1. eTrust Directory 

eTrust Directory 是 由 美国 CA 公司 开发 的 ， 提 供 了 一 种 “主干 ”的 目录 服务 ， 可 满足 
大 规模 在 线 业务 应 用 所 带 来 的 最 为 紧迫 的 需求 。eTrust Directory 支持 LDAP v3 目录 访问 ， 
同时 为 高 速 发 布 和 复制 提供 X.500 协议 的 支持 ， 并 通过 使 用 商用 RDBMS 来 保障 可 靠 性 。 
总 之 ，eTrust Directory 提供 了 最 高 级 别 的 可 用 性 、 可 靠 性 、 可 伸缩 性 和 优秀 的 性 能 。eTrust 
Directory 可 以 为 核心 商务 应 用 系统 上 的 大 型 解决 方案 提供 以 下 功能 。 
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口 客户 鉴别 和 授权 : 借助 eTrust Directory 骨干 结构 ， 可 以 采用 数字 证 书 和 智能 卡 提 
供 Internet 访问 服务 ， 并 通过 强 有 力 的 客户 鉴别 方法 进行 保护 。 
口 集中 的 客户 管理 : eTrust Directory 提供 了 单一 、 分 布 式 和 高 度 安 全 的 客户 和 账户 
关系 信息 库 ， 这 些 信息 和 关系 可 来 自 不 兼容 的 传统 系统 和 办 公 应 用 系统 。 
口 ISP 用 户 管理 : eTrust Directory 骨干 网 能 为 ISP 用 户 身份 、 关 系 、 组 和 安全 细节 提 
供 通 用 参考 。 
口 信息 集成 : eTrust Directory 在 集成 不 兼容 的 后 端 办 公 系 统 时 更 显 其 价值 ， 它 可 以 
提供 一 个 安全 、 分 布 式 的 信息 库 。 
eTrust Directory 系列 产品 的 核心 是 Dxserver 目录 服务 器 ， 另 外 还 包括 一 些 功 能 强大 的 
实施 和 管理 工具 套件 ， 包 括 海量 数据 加 载 器 、 负 和 载 平衡 器 ， 以 及 包含 LDIF 和 模式 管理 工 
具 在 内 的 强大 的 Java 浏览 器 等 。 同时， 强大 的 Dxlink 特性 允许 在 eTrust Directory 骨干 网 
中 融入 任何 LDAP 兼容 型 服务 器 。 


2. Active Directory 


Active Directory 是 由 Microsoft 公司 提供 的 目录 服务 产品 ， 它 是 构建 Windows 分 布 式 
系统 的 基础 。Active Directory 存储 了 有 关 网 络 对 象 的 信息 ， 并 入 窑 浊 # 员 和 用 户 能 够 轻松 
地 查找 和 使 用 这 些 信息 。Active Directory 使 用 了 一 种 结构 化 的 数据 存储 方式 ， 并 以 此 作为 
基础 对 目录 信息 进行 合乎 逻辑 的 分 层 组 织 。 

Active Directory 是 一 个 支持 LDAP 的 全 面 的 目录 服务 管理 方案 ， 它 是 一 个 企业 级 的 目 
录 服 务 ， 具 有 很 好 的 可 伸缩 性 ， 并 与 操作 系统 紧密 地 集成 在 一 起 。 活 动 目录 不 仅 可 以 管理 
基本 的 网 络 资源 ， 例 如 计算 机 对 象 、 用 户 账户 、 打 印 机 等 ， 也 充分 考虑 了 现代 应 用 的 业务 
需求 ， 为 这 些 应 用 提供 了 基本 的 管理 对 象 模型 。 几 乎 所 有 的 应 用 可 以 直接 利用 系统 提供 的 
目录 服务 结构 ， 而 且 活动 目录 也 具有 很 好 的 扩充 能 力 ， 允 许 应 用 程序 定制 目录 中 对 象 的 属 
性 或 者 添加 新 的 对 象 类 型 。 


3. Novell eDirectory 


Novell eDirectory 是 经 过 时 间 考 验 的 跨 平台 的 企业 级 目录 服务 产品 ， 从 1993 年 开始 就 
已 经 为 企业 应 用 提供 目录 服务 。LDAP 应 用 可 ei eDirectory 环境 下 ， 按 照 其 他 LDAP 日 
录 的 方式 浏览 、 阅 读 、 更 新 信息 ，LDAP 请 求 可 以 按 本 地 访问 eDirectory 对 象 的 方式 处 理 。 
eDirectory 符合 LDAP v3 的 所 有 RFC， 并 获得 LDAP 2000 证 书 。 
采用 eDirectory 和 Novell DirXML， 其 他 目录 可 与 eDirectory 实现 双向 同步 , 事件 引擎 
可 以 在 发 生变 化 时 加 以 同步 。eDirectory 允许 在 树 中 任意 点 定义 目录 分 区 ， 并 且 可 以 在 树 
结构 中 的 任何 服务 器 上 复制 这 些 分 区 。 这 一 功能 可 以 使 管理 员 优 化 认证 效率 ， 提 高 带宽 利 
用 率 ， 减 少 系统 故障 。eDirectory 支持 树 结构 的 修整 、 移 植 、 重 命名 、 合 并 和 拆 分 ， 便 于 
组 织 企业 应 用 的 合并 和 重组 。 


4. Sun ONE Directory Server 


Sun ONE Directory Server 原来 的 名 称 是 iPlanet Directory Server， 属 于 SUN ONE 系列 
产品 中 的 一 种 , 可 以 提供 大 型 目录 服务 。Sun ONE Directory Server 除了 支持 LDAP v3 的 所 
有 功能 外 , 还 对 JNDI 和 基础 XML 提供 了 支持 , 能 够 在 Solaris、AIX、HP-UX 和 Windows 
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NT 等 环境 下 运行 。 

Sun ONE 目录 服务 器 可 为 各 类 企业 提供 用 户 可 管理 的 基础 架构 ， 用 于 管理 大 量 信息 。 
Sun ONE 目录 服务 器 以 符合 业界 标准 的 LDAP 为 基础 ， 提 供 各 种 高 级 安全 功能 、 运 营 商 级 
的 伸缩 性 及 出 众 的 性 能 和 可 用 性 。 它 可 以 与 现 有 的 系统 实现 充分 整合 ， 充 当 用 户 配 置 文件 
合并 时 的 中 央 存 储 库 。 


5. OpenLDAP 


OpenLDAP 是 LDAP 自由 和 开源 的 实现 , 在 OpenLDAP 许可 证 下 发 行 , 并 已 经 被 包含 
在 众多 流行 的 Linux 发 行 版 中 。OpenLDAP 包含 了 LDAP 服务 器 和 一 些 应 用 开发 工具 ， 其 
目标 是 提供 一 个 稳定 的 、 商 业 应 用 级 和 功能 全 面 的 LDAP 软件 ， 已 经 得 到 了 广泛 的 应 用 。 


且说 明 : 本 章 后 面 的 部 分 将 主要 介绍 OpenLDAP 的 安装 、 配 置 和 运行 。 


20.2 架设 OpenLDAP 服务 器 


在 Linux 系统 中 ， 架 设 目录 服务 器 时 最 常用 的 软件 是 OpenLDAP， 它 可 以 免费 获得 ， 
并 且 已 经 包含 在 RHEL 6 发 行 版 中 。 下 面 介 绍 有 关 OpenLDAP 目录 服务 器 的 架设 方法 ， 包 
括 OpenLDAP 的 安装 、 运 行 、 配 置 管理 和 使 用 等 内 容 。 


20.2.1 OpenLDAP 服务 器 的 安装 与 运行 


OpenLDAP 是 一 个 开放 源 代码 的 软件 ， 可 以 免费 获取 使 用 ， 其 主页 地 址 是 
http:/www.openldap.org/， 目 前 最 新 版 是 2.4.12 版 。 主 页 网 站 只 提供 源 代码 的 下 载 , 文件 名 
是 openldap-2.4.32.tgz。 另 外 ， 也 可 以 使 用 RHEL 6 发 行 版 提供 的 RPM 包 进 行 安装 ， 其 版 
本 号 是 2.4.32。 默 认 情况 下 ，RHEL 6 并 没有 安装 OpenLDAP 服务 器 ， 需 要 从 安装 光盘 里 
把 openldap-servers-2.4.23-26.e16.i686.rpm 文件 复制 过 来 。 另外, 安装 openldap-2.4.23-26.el6. 
i686.tpm 时 还 需要 libtool-ltdl-2.2.6-15.5.e16.i686.rpm 文件 的 支持 , 也 要 一 起 复制 过 来 , 再 用 
以 下 命令 进行 安装 : 

# rpm -ivh libtool-ltdl-2.2.6-15.5.e16.i686.rpm 

warning: libtool-ltdl-2.2.6-15.5.el16.i686.rpm: Header V3 DSA signature: 

NOKEY, key ID 37017186 

Preparing... 磊磊 大 大 大 大 提 提 提 提 提 提 并 持 拓 提 提 提 提 提 大 拓 拓 振 拓 拓 拓 拓 拓 提 提 提 提 提 提 提 提 提 ## 提 ## [1OOS] 

1:1ibtool-ltdl 扩大 提 提 提 提 并 非 间 提 提 提 提 拉 提 提 提 提 提 提 提 并 并 提 提 提 提 提 提 提 提 提 提 提 提 间 提 提 提 提 提 # 提 [了 OO 等] 

# rpm -ivh openldap-servers-2.4.23-26.e16.i686.rpm 

warning: openldap-servers-2.4.23-26.e16.i686.rpm: Header V3 RSA/SHA256 

Signature, key ID fd431d51: NOKEY 

Preparing... 磊磊 大 提 大 大 提 提 提 提 拓 提 提 提 提 提 提 提 提 提 提 提 大 持 拓 拓 拓 拓 提 提 提 提 提 提 大大 提 提 提 井 提 ## [1OOSS] 


1:openldap-servers 提 非 捍 提 提 间 提 提 提 提 提 提 提 捍 提 提 提 提 提 提 提 提 提 提 提 提 提 提 并 提 间 提 间 提 提 提 提 提 井 间 井 间 # [1OOS] 
# 


安装 成 功 后 ， 有 关 OpenLDAP 服务 器 软件 的 几 个 重要 文件 分 布 如 下 所 示 。 
口 /etc/openldap/DB_CONFIG.example: 数据 库 的 例子 配置 。 


口 /etc/openldap/schema: 该 目录 预定 义 了 许多 模式 。 
口 /etc/openldap/slapd.conf: OpenLDAP 的 主 配置 文件 。 
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口 /etc/re.d/init.d/1dap: OpenLDAP 的 启动 脚本 。 

口 /usr/sbin/slapd: OpenLDAP 服务 器 的 进程 文件 。 

口 /usr/share/doc/openldap-servers-2.4.23: OpenLDAP 的 说 明文 件 。 

OpenLDAP 服务 器 运行 时 ， 还 需要 Berkeley DB 数据 库 的 支持 ， 可 以 用 以 下 命令 查看 
一 下 系统 中 是 否 已 经 安装 了 该 数据 库 的 软件 包 : 

# rpm -qa | grep db4 

db4-devel-4.3.29-9.fc6 


db4=453,29=-9.£fc6 
db4-utils-4.3.29-9.fc6 
# 


如 果 列 出 了 上 述 3 个 RPM 包 ， 表明 Berkeley DB 数据 库 已 经 安装 ， 如 果 没 有 列 出 ， 则 
需要 从 RHEL 6 发 行 版 的 安装 光盘 上 找到 对 应 的 RPM 包 文件 进行 安装 。 为 了 运行 
OpenLDAP 服务 器 软件 ， 可 以 输入 以 下 命令 ， 此 时 是 在 初始 配置 下 运行 的 : 

# /etc/rc.d/init.d/slapd start 

正在 检查 slapd 的 配置 文件 ， bdb db open: Warning - No DB CONFIG file found in 

directory /var/lib/ldap: (2) 


Expect poor performance for suffix dc=my-domain,dc=com. 
config file testing succeeded 


[确定 ] 
启动 slapd: [确定 ] 
[root@localhost ~]# ps -eaflgrep ldap 

ldap 5316 1 0 22:30? ‘00:00:00 /usr/sbin/slapd =h ldap:/// =u ldap 

# 

可 以 看 到 ，OpenLDAP 服务 器 只 有 一 个 由 ldap 用 户 运 行 的 进程 ， 进 程 的 命令 文件 是 
/usr/sbin/slapd，1dap 用 户 是 在 OpenLDAP 软件 包 安 装 的 时 候 自 动 创建 的 ， 如 果 采 用 源 代码 
安装 ， 需 要 手工 创建 。 另 外 ， 上 述 命 令 运行 时 还 有 一 个 警告 ， 可 以 把 /etc/openldap/ 
DB_CONFIG.example 文件 复制 到 /var/lib/ldap 目录 ,并 改名 为 DB_CONFIG, 即 可 消除 该 警 
告 。OpenLDAP 默认 监听 的 是 TCP389 号 端口 ， 可 以 输入 以 下 命令 查看 该 端口 是 否 已 经 处 
于 监听 状态 : 


[root@localhost ldap]# netstat -anplgrep :389 


tcp 0 0 0.0.0.0:389 0.0.0.0:* LISTEN 5316/slapd 
tcp 0 0 :::389 GE LISTEN 5316/slapd 
# 


可 见 ，TCP389 端口 已 经 处 于 监听 状态 。 为 了 使 远程 客户 可 以 使 用 OpenLDAP 服务 器 ， 
需要 主机 防火 墙 开放 上 述 端 口 : 

# iptables -I INPUT -p tcp --dport 389 -]j ACCEPT 
或 者 用 以 下 命令 清空 防火 墙 的 所 有 规则 : 


# iptables -F 


上 述 过 程 完成 后 , OpenLDAP 服务 器 已 经 能 正常 运行 , 使 用 的 是 /etc/openldap/slapd.conf 
文件 中 的 初始 配置 。 除 了 OpenLDAP 服务 器 软件 包 外 ，RHEL 6 还 提供 了 OpenLDAP 客户 
端 软件 包 ， 可 以 从 安装 光盘 上 找到 openldap-clients-2.4.23-26.e16.i686 文件 ， 再 用 以 下 命令 
进行 安装 : 
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# rpm -ivh openldap-clients-2.3.27-5.i386.rpm 

warning: openldap-clients-2.4.23-26.e16.i686.rpm: Header V3 DSA signature: 

NOKEY, key ID 37017186 

Preparing... 排 非 提 提 非 提 提 提 提 大 提 提 提 提 并 提 提 并 提 提 提 提 并 提 提 提 提 提 提 提 提 提 提 提 提 提 提 间 提 提 提 ## [1OOS] 

1:openldap-clients 非 提 非 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 并 提 提 提 提 提 提 提 提 提 提 提 提 提 提 井 提 提 提 提 间 ## 井 [1OOS] 

OpenLDAP 客户 端 软件 包 包含 了 几 个 对 LDAP 目录 进行 管理 的 工具 ， 例 如 添加 条 目 、 
删除 条 目 、 搜 索 条 目 等 。 可 以 用 以 下 命令 测试 OpenLDAP 服务 器 的 工作 是 否 正常 : 

# ldapsearch -x -b '' -s base '(objectclass=*)' namingContexts 

an: 

namingContexts: dc=my-domain,dc=com 

2 

ldapsearch 是 由 LDAP 客户 端 软件 包 提供 的 一 个 目录 搜索 工具 ， 上 述 命令 列 出 了 目录 
的 根 域 。 


20.2.2 OpenLDAP 服务 器 的 主 配置 文件 


OpenLDAP 服务 器 的 主 配置 文件 是 /etc/openldap/lapd.conf，RPM 包 安 装 完成 后 ， 里 面 
已 经 包含 了 初始 的 配置 内 容 。OpenLDAP 服务 器 配置 文件 的 格式 符合 UNIX 系统 下 大 多 数 
配置 文件 的 习惯 ,“#” 是 注释 符 ， 其 后 的 内 容 将 被 忽略 ， 空 行 也 被 忽略 。 但 要 需要 注意 的 
是 ， 每 一 项 配置 都 以 第 1 列 开始 ， 前 面 不 能 有 空格 。 下 面 是 对 /etc/openldap/lapd.conf 文件 


初始 内 容 的 解释 。 
配置 1: 
include /etc/openldap/schema/core.schema 
include /etc/openldap/schema/cosine.schema 
include /etc/openldap/schema/inetorgperson.schema 
include /etc/openldap/schema/nis.schema 


功能 : 把 4 个 模式 文件 的 内 容 包 含 进来 。 


全 说 明 : 模式 (Schema ) 定义 了 LDAP 中 的 对 象 类 型 、 属 性 、 语 法 和 匹配 规则 等 ， 类 似 于 
关系 数据 库 中 的 表 结构 。 在 实际 应 用 过 程 中 , 用 户 可 以 自己 定义 模式 , 以 便 LDAP 
能 够 按 要 求 的 格式 存储 用 户 数据 。 为 了 方便 用 户 的 使 用 ，OpenLDAP 已 经 为 某 些 
应 用 定义 了 相应 的 模式 ， 这 些 模式 都 存放 在 /etc/openldap/schema 目录 中 。 


配置 2: 


allow bind v2 
功能 : 允许 LDAP 版 本 2 的 客户 端 连接 。 

全 说 明 : 默认 情况 下 是 不 允许 的 ， 为 了 与 以 前 的 客户 端 兼容 ， 需 要 使 用 这 项 配置 。 
配置 3: 


pidfile /var/run/openldap/slapd.pid 
功能 : 指定 slapd 进程 PID 文件 的 位 置 。 
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配置 4: 

argsfile /var/run/openldap/slapd.args 

功能 : 指定 存放 slapd 进程 启动 时 所 使 用 的 命令 行 的 文件 。 
配置 5; 


# modulepath /usr/lib/openldap 

功能 ;指定 动态 装载 模块 的 路 径 。 

配置 6: 

# moduleload back bdb.1a 

# ‘moduleload back_ shell.1la 

功能 :指定 动态 装载 的 后 端 模块 。 

配置 7: 

# TLSCACertificateFile /etc/pki/tls/certs/ca-bundle.crt 


# TLSCertificateFile /etc/pki/tls/certs/slapd.pem 
# TLSCertificateKeyFile /etc/pki/tls/certs/slapd.pem 


功能 : 允许 使 用 TLS 加 密 链 接 。 
且说 明 : 为 了 产生 所 需要 的 证 书 ， 可 以 进入 /ete/pki/tls/certs 目录 ， 然 后 执行 “make slapd. 
pem” 命 令 。 
配置 8: 
# security ssf=1 update ssf=112 simple bind=64 
功能 :有 关 安 全 设置 的 选项 ,表示 要 求 数据 完整 保护 ,112 位 的 加 密 算 法 ,64 位 的 Simple 
bind 认证 机 制 。 
全 说 明 : security 选项 用 来 指定 加 强 安全 的 一 般 规则 ， 除 了 security 外 ， 常 用 的 安全 选项 还 
有 上 require、allow、disallow 和 password-hash。 
配置 9: 


# access to dn.base="" by * read 
# access to dn.base="cn=Subschema" by * read 
# access to * 


# by self write 
# by users read 
# by anonymous auth 


功能 : 定义 访问 控制 列表 。 以 上 设置 表示 根 DSE 和 子 DSE 允许 任何 人 读 ， 其 他 DSE 
为 自己 可 写 ， 认 证 后 的 用 户 可 读 ， 匿 名 用 户 允 许 进行 认证 。 
配置 10: 


database bdb 


功能 : 设置 支持 的 数据 库 类 型 为 Berkeley DB。 
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配置 11: 

Suffix "dc=my-domain,dc=com" 
功能 : 指定 LDAP 目录 树 的 后 级 。 

配置 12: 

rootdn 


功能 : 指定 目录 树 的 管理 员 用 户 名 。 


"cn=Manager, dc=my-domain, dc=com" 


全 说 明 : 访问 控制 列表 对 此 用 户 是 无 效 的 ， 因 此 存在 很 大 的 安全 隐患 ， 调 试 完成 后 最 好 去 


除 此 账号 。 
配置 13: 


# rootpw 
功能 : 指定 目录 树 的 管理 员 的 明文 密码 。 
配置 14: 


# rootpw 


secret 


{crypt}ijFYNcSNctBYg 


功能 : 指定 目录 树 管理 员 的 crypt 方式 加 密 的 密码 。 
全 说 明 : 可 以 使 用 的 加 密 方式 有 CRYPT、MD5、SMD5、SHA 和 SSHA. 使 用 “slappasswd 


-h {方式 }” 命 令 可 以 产生 密码 的 密 文 。 


配置 15: 
directory /var/lib/ldap 
功能 : 目录 数据 库 在 文件 系统 中 的 路 径 。 


配置 16: 


index objectClass 
index ou,cn,mail, surname,givenname 
index uidNumber,gidNumber,1loginShell 


功能 : 
查询 速度 。 


eqpres 


eqpres, sub 
eqr Pres 


以 上 3 句 用 来 指定 slapd 进程 索引 时 用 到 的 属性 和 匹配 规则 ， 主 要 是 用 来 加 快 


全 说 明 : 常用 的 匹配 规则 有 approx (模糊 匹配 ) 、eq (精确 匹配 ) 、pres ( 现 值 匹配 ， 若 
菜 记 录 的 此 属性 值 没有 则 不 进行 匹配 ) 和 sub (子囊 匹配 ) 。 


20.2.3 使 用 LDIF 添加 目录 树 


在 初始 的 OpenLDAP 服务 器 配置 中 ， 定 义 了 一 个 名 为 my-domain.com 的 例子 目录 树 。 


在 实际 应 用 中 ， 


为 例 ， 说 明 


和 户 需 要 根据 实际 情况 定 添加 自己 的 目录 树 。 下 面 以 一 个 单位 的 组 织 结构 
户 如 何 定义 自己 的 目录 树 ， 并 添加 到 LDAP 数据 库 中 。 假 设 要 添加 的 单位 名 
称 为 Wzvtc College， 该 单位 有 3 个 部 门 ， 名 称 分 别 为 Dean、Finance 和 Personnel， 每 个 部 
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门 有 若干 人 ， 具 体 结构 如 图 20-1 所 示 。 

以 上 的 组 织 结构 是 一 种 典型 的 目录 树 结构 ,为 了 在 LDAP 中 存储 这 个 组 织 结构 的 目录 
树 ， 首 先 需 要 为 目录 树 建立 一 个 “ 根 ”， 根 是 目录 树 的 最 高 层 ， 以 后 建立 的 所 有 对 和 象 都 附属 
于 这 个 根 。 可 以 有 3 种 方法 表示 目录 树 的 根 ， 一般 采用 的 形式 为 dc=wzvtc,dc=edu， 类 似 于 
域名 wzvtc.edu。 

单位 中 的 部 门 是 目录 树 的 分 枝 结 点 ， 用 ou 表示 。 例 如 ，ou=dean 表示 一 个 名 为 dean 
的 部 门 。 分 枝 节点 下 面 可 以 包含 叶 节点 ， 也 可 以 包含 其 他 的 分 枝 节点 。 分 枝 节点 相当 于 文 
件 系统 中 的 子 目 录 ， 叶 节点 相当 于 文件 ， 而 根 结 点 相当 于 根 目 录 。 

在 上 例 中 ， 叶 节点 相当 于 单位 中 的 人 ， 是 目录 树 的 最 底层 ， 可 以 使 用 uid 和 cn 进行 描 
述 。 例 如 ，uid=tom 或 cn=Zhang San。 每 个 人 都 是 属于 某 一 个 部 门 的 ， 因 此 每 个 叶 节点 都 
要 附属 于 某 一 个 分 枝 节点 。 根 据 以 上 描述 ， 例 子 单位 组 织 结构 转化 后 形成 的 LDAP 目录 树 
如 图 20-2 所 示 。 另 外 ， 常 见 的 LDAP 目录 树 结 点 的 属性 关键 字 如 表 20-1 所 示 。 


Wzvtc 学 院 


WzZvtc.esu 
三 一 一 一 一 一 
ET Ey [和 
Dean Finance Personnel 
ee i 
| | | | | ou=dean ou=finance| |ou=personnel 
Zhang San Li Si cn=Zhang San | | | EE EJ LL 
图 20-1 一 个 单位 的 实际 组 织 结构 图 20-2 转化 为 LDAP 目录 树 后 的 结构 


表 20-1 LDAP 目录 树 中 常见 的 关键 字 

关键 字 说 明 

dc 域名 ， 其 格式 是 将 标准 域名 进行 拆 分 ， 如 域名 wzvtc.edu 可 表示 为 dc=wzvtc,dc=edu 

0 组 织 的 实际 名 称 
表示 对 象 的 唯一 标识 ， 类 似 文件 系统 中 的 绝对 路 径 ， 例 如 :“uid=zhang,ou=dean,dc=wzvtc, 
dc=edu” 
c 国家 代码 ， 如 cn、uk 等 
rdn 是 dn 中 与 目录 树 结构 无 关 的 部 分 ， 通 常用 对 象 的 cn 属性 的 值 表示 
ou 组 织 机 构 ， 是 一 个 容器 ， 可 以 包含 其 他 组 织 机 构 和 对 象 ， 相 当 于 文件 系统 中 的 子 目 录 
cn 表示 对 象 的 全 称 
uid ”| 表示 用 户 标识 
Sn 表示 用 户 的 姓 


为 了 把 上 述 目 录 树 添加 到 LDAP 数据 库 中 ， 需 要 使 用 LDIFE 文件 。 LDIF 也 称 为 轻 量 级 
日 录 交 换 格式 ， 用 来 在 不 同 的 LDAP 服务 器 之 间 交 换 数据 ， 各 种 LDAP 目录 数据 库 进行 同 
步 时 也 需要 LDIF 格式 的 文件 。LDIF 文件 使 用 文本 方式 存储 ， 其 内 容 需 要 按照 LDAP 中 定 
义 的 模式 进行 组 织 ， 使 用 时 要 进行 语法 检查 。LDIF 的 内 容 是 由 一 个 个 条 目 组 成 的 , 每 个 条 
目的 格式 如 下 : 
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dn :< 唯一 标识 > 
< 属性 名 称 1> :< 属性 值 1> 
< 属性 名 称 2>: < 属性 值 2> 


在 以 上 格式 中 ，dn 的 值 决定 了 该 条 目 在 目录 树 中 的 位 置 ， 所 有 的 属性 名 称 都 应 该 已 经 
在 LDAP 模式 中 进行 了 定义 。 例 如 , 下面 是 一 个 LDIF 条 目的 例子 , 它 表示 的 是 一 个 用 户 号 : 


dn: uid=zhangs,ou=dean,dc=wzvtc,dc=edu # 唯一 标识 


uid: zhangs # 用 户 标识 

cn: zhangsan # 用 户 的 全 称 

sn: Zhang # 用 户 的 姓 

uidNumber: 1203 # 用 户 账号 的 UID 

gidNumber: 1200 # 用 户 账号 的 GID 

homeDirectory: /home/dean # 用 户 的 个 人 目录 位 置 

Password: agrowieugjlogin # 用 户 账号 的 密码 

Shell: /bin/bas # 用 户 登 录 后 执行 的 shel1 程序 
objectClass: organizationalUnit # 用 户 属于 organizationalUnit 类 
objectClass: person # 用 户 属于 person 类 


为 了 把 如 图 20-2 所 示 的 目录 树 存储 到 LDAP 数据 库 中 , 需要 在 建立 的 LDIF 文件 中 输 
入 以 下 内 容 〈 因 篇 幅 所 限 ， 只 列 出 了 dean 部 门 中 的 两 个 对 象 )。 
(1) 定义 根 DN。 


dn: dc=wzvtc,dc=edu 
objectclass: top 
objectclass: dcObject 
objectclass: organization 
oO: Wzvtc College 

dc: wzvtc 


(2) 定义 管理 员 。 


dn: cn=Manager, dc=wzvtc,dc=edu 
objectclass: organizationalRole 
cn: Manager 


(3) 定义 组 织 机 构 。 


dn: ou=dean,dc=wzvtc,dc=edu 
objectclass: organizationalUnit 
ou: dean 


(4) 定义 dean 中 的 用 户 。 


dn: cn=Zhang San,ou=dean,dc=wzvtc,dc=edu 
objectclass: organizationalPerson 
objectclass: inetOrgPerson 

cn: Zhang San 

sn: Zhang 

telephoneNumber: 0577-88888888 

mail: zhangs@wzvtc.edu 


dn: cn=Li Si,ou=dean,dc=wzvtc,dc=edu 
objectclass: organizationalPerson 
objectclass: inetOrgPerson 

cn DiS 
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人 0577-99999999 

mail: lisi@wzvtc.edu 

以 上 是 如 图 20-2 所 示 目 录 树 所 对 应 的 LDIF 文件 的 部 分 内 容 ， 可 以 按 步 骤 (3) 增加 
类 似 的 Finance、Personnel 组 织 机 构 条 目 ， 再 按 步骤 (4) 增加 类 似 的 用 户 对 象 条 目 ， 形 成 
完整 的 对 应 图 20-2 所 示 目 录 树 的 LDIF 文件 .为 了 把 LDIF 中 所 定义 的 目录 树 添加 到 LDAP 
数据 库 中 ， 首 先 把 初始 /etc/openldap/slapd.conf 文件 中 的 以 下 3 个 选项 内 容 : 


suffix "dc=my-domain,dc=com" 
rootdn "cn=Manager, dc=my-domain,dc=com" 
# rootpw secret 

改 成 如 下 内 容 : 
suffix "dc=wzvtc, dc=edu" 
rootdn "cn=Manager, dc=wzvtc,dc=edu" 
rootpw secret 


用 “/etc/re.d/init.d/ldap restart ”命令 重启 slapd 进程 ,然后 使 用 OpenLDAP 提供 的 ldapadd 
命令 添加 目录 树 。 假 设 上 述 LDIF 存盘 的 文件 名 是 wzvtc.ldif， 则 添加 目录 树 的 命令 及 参数 
如 下 : 

[root@localhost ~]# ldapadd -x -D "cn=manager,dc=wzvtc,dc=edu" -W -f 


wzvtc.1ldif 


Enter LDAP Password:// 此 处 要 输入 slapd.conf 文件 中 由 rootpw 选项 指定 的 密码 secret 
adding new entry "dc=wzvtc,dc=edu" 

adding new entry "cn=Manager, dc=wzvtc,dc=edu" 

adding new entry "ou=dean,dc=wzvtc,dc=edu" 

adding new entry "cn=Zhang San,ou=dean,dc=wzvtc,dc=edu" 

adding new entry "cn=Li Si,ou=dean,dc=wzvtc,dc=edu" 

[root@localhost ~]# 


在 以 上 命令 参数 中 ，-x 表示 使 用 LDAP 自 带 的 简单 认证 方式 ，-D 表示 使 用 slapd.conf 
文件 中 定义 的 DN，-W 表示 不 在 命令 行 中 放置 密码 ， 而 是 在 命令 执行 时 要 求 输入 密码 。-f 
参数 指定 一 个 LDIF 文件 。 如 上 所 示 , ldapadd 命令 成 功 添加 一 个 条 目 时 , 都 会 输出 一 行 提示 。 


全 注意 : wzvte.ldif 文 件 中 的 每 一 行 的 前 后 都 不 允许 有 空格 ， 否 则 会 出 现 以 下 错误 提示 .。 
additional info: objectclass: value #0 invalid per syntax 


可 以 用 OpenLDAP 提供 的 ldapsearch 命令 查看 一 下 刚才 添加 的 条 目 ， 命 令 形式 如 下 : 


ldapsearch -x -W -D "cn=manager,dc=wzvtc,dc=edu" -b 'dc=wzvtc,dc=edu' 
Enter LDAP Password: 
# extended LDIF 


# 
# LDAPV3 

# base <dc=wzvtc,dc=edu> with scope subtree 
# filter: (objectclass=*) 

# requesting: ALL 

# 


# wzvtc.edu 
dn: dc=wzvtc,dc=edu 
objectClass: top 
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objectClass: dcObject 
objectClass: organization 
oO: Wzvtc College 

dc: wzvtc 


以 上 命令 中 ，-b 表示 要 搜索 的 内 容 ， 其 余 选 项 含义 与 1dapadd 命令 同样 的 选项 类 似 。 
20.2.4 使 用 图 形 界面 工具 管理 LDAP 目录 


OpenLDAP 软件 包 提供 了 管理 目录 树 的 命令 , 可 以 进行 添加 、 删 除 、 搜 索 条 目 等 操作 。 
对 于 一 般 用 户 来 说 ， 掌 握 命令 行 操作 方式 不 是 一 件 容易 的 事 ， 他 们 一 般 希望 能 通过 图 形 界 
面 进行 操作 。 为 此 ， 许 多 第 三 方 软件 提供 了 图 形 界面 的 LDAP 目录 管理 工具 ， 其 中 的 开源 
软件 phpLDAPadmin 就 是 最 具有 代表 性 的 工具 之 一 。 
phpLDAPadmin 是 一 个 基于 Web 的 LDAP 管理 工具 , 可 用 于 管理 LDAP 服务 器 的 各 个 
方面 ,例如 浏览 LDAP 目录 ，, 创建、 删除 、 修 改 和 复制 条 目 ， 执 行 搜索 ， 导 入 或 导出 LDIF 
文件 ， 查 看 服务 器 中 的 模式 等 。 利 用 phpLDAPadmin， 还 可 以 在 两 个 LDAP 服务 器 之 间 复 
制 各 种 条 目 和 对 象 。 

可 以 从 http://phpldapadmin.sourceforge.net 下 载 phhpLDAPadmin 的 源 代 码 ， 目 前 最 新 的 
版 本 是 1.2.2 版 ， 文 件 名 是 phpldapadmin-1.2.2.tar.gz。 假 设 Apache 服务 器 的 主 目录 是 
/Var/www/html， 则 把 phpldapadmin-1.2.2.tgz 文件 复制 到 /var/www/html 目录 后 再 用 以 下 命 
令 进行 解压 并 改 目 录 名 : 

# tar -zxvf phpldapadmin-1.2.2.tgz 

# mv phpldapadmin-1.1.0.5 phpldapadmin 

为 了 使 用 phpldapadmin， 需 要 配置 好 能 支持 PHP 的 Apache 服务 器 ， 具 体 方 法 可 参见 
15.4.2 节 。 还 有 ， 在 phpldapadmin 的 config 目录 下 有 一 个 config.php.example 文件 ， 它 是 
phpldapadmin 的 例子 配置 文件 ， 需 要 把 它 复制 或 改名 为 config.php。 以 上 工作 完成 后 ， 可 
以 用 浏览 器 访问 phpldapadmin, 假设 Apache 服务 器 的 主机 的 IP 是 10.10.1.29, 则 在 地 址 栏 
内 输入 http://10.10.1.29/phpldapadmin， 将 出 现 如 图 20-3 所 示 的 界面 。 


— 


可 加 和 | ”Om 加 可 


-。 tbar 
Home Purge Reques Repart Deora ep 
or 9 =adm 
wo 


vy DA Server 

ephp 
SLDAP 
agmin 


Use the menu to the left to navigate 


Credits | Documentation | Donate 国 
Sl [ll LE 


图 20-3 phpLDAPadmin 的 主 界面 
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全 注意 : 如 果 初 始 访问 phpldapadmin 时 没有 出 现 主 界面 , 而 是 出 现 类 似 “Your php memory 
limit is low” 这 样 的 错误 提示 ， 则 需要 改变 /etc/php.ini 文 件 中 的 memory_limit 选 
项 ， 以 增 大 PHP 可 用 的 内 存 ， 并 重启 Apache。 


出 现 主 界面 后 , 可 以 单 击 左边 的 “Login...” 链 接 进行 登录 , 然后 就 会 出 现 一 个 登录 框 。 
此 时 输入 20.2.3 节 创 建 的 管理 员 用 户 和 密码 ， 如 图 
20-4 所 示 ， 再 按 Authenticate 按钮 。 登 录 成 功 后 ， 
将 出 现 如 图 20-5 所 示 的 界面 。 

从 图 20-5 中 可 以 看 到 , 页 面 的 左边 列 出 了 目录 
树 中 现存 的 条 目 以 及 它们 的 关系 ， 选 中 某 一 条 日 
后 ， 页 面 的 右边 列 出 了 该 条 目 所 有 属性 的 值 ， 某 些 
属性 可 以 进行 修改 或 增加 值 。 此 外 ， 页 面 上 还 提供 
了 添加 条 目 、 删 除 条 目 、 添 加 属性 等 功能 的 链接 。 


Authenticate to server My LDAP Server 


Warning: This web connection is unencrypted. 


图 20-4 phpldapadmin 的 登录 界面 


全 说 明 : 通过 使 用 phpLDAPadmin， 本 来 需要 通过 编辑 复杂 的 JDNI 文件 才能 实现 的 功能 
现在 可 以 通过 图 形 界面 轻松 地 完成 了 。 


ET 
加 宣 8 # | 9 时 bap 
mr 训 Eee »。 

es tere | 人 sf 


| 


国 Export 
XK Show internal attnbutes 


回 Rename 


多 Refresh 
多 copy or move this entry 
会 Delete this entry 


国 compare with another entry 
WB Add new attribute 
国 Export subtree 


Create a chid entry 
View 2 chidren 


objectClass 
@ eisetionalit 
(structural) 
(add value) 


ou 


图 20-5 成 功 登 录 后 的 phpldapadmin 界面 


20.3 


LDAP 目录 最 常见 的 


统 提供 认证 服务 ， 从 而 实现 集中 认证 的 功能 。 下 面 介 绍 使 用 OpenLDAP 进行 Linux 系统 月 


使 用 OpenLDAP 进行 用 户 认证 


一 种 应 用 是 用 于 存储 用 户 账号 ， 然 后 通过 LDAP 服务 器 对 各 种 系 


户 认 证 、Apache 服务 器 用 户 认证 的 配置 方法 。 
20.3.1 Linux 系统 用 户 认 证 
Linux 系统 支持 通过 LDAP 服务 器 进行 系统 用 户 登 录 时 的 认证 。 为 了 使 用 LDAP 系统 
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j 户 认证 ,需要 一 些 软件 包 的 支持 ,除了 前 面 已 经 安装 的 openldap-servers 和 openldap-clients 
包 以 外 ， 还 需要 nss_ldap 软件 包 的 支持 ， 可 以 用 以 下 命令 查看 nss_ldap 包 是 否 已 经 安装 : 

# rpm -qalgrep nss_ldap 

nss_ ldap-253-3 

# 

以 上 结果 表明 nss_ldap-253-3 软件 已 经 安装 。 如 果 没 有 安装 ， 需 要 从 RHEL 6 发 行 版 
的 光盘 找到 对 应 的 RPM 文件 进行 安装 。 所 需 的 软件 包 都 安装 完成 后 ， 可 以 通过 以 下 步骤 
配置 LDAP 系统 用 户 认证 。 

(1) 在 RHEL 6 的 桌面 图 形 环境 中 运行 /usr/sbin/system-config-authentication 工具 ,出现 
如 图 20-6 所 示 的 对 话 框 。 

(2) 在 用 户 账户 配置 栏 中 的 “用 户 账户 数据 库 ” 文 本 框 中 选择 “LDAP” 命 令 ， 将 出 
现 如 图 20-7 所 示 的 对 话 框 。 

(3) 在 图 20-7 中 要 求 输入 LDAP 服务 器 地 址 和 基点 的 DN, 此 时 可 以 输入 20.2 节 创 建 
的 LDAP 目录 的 基点 DN。 


i (D 和 下] 高 相交 项 [0) 
用 户 帐户 配 轩 
用 户 帐户 攻 所 库 (U) : LDAP 旨 


LDAP 现 委 基点 DN (B) : 「 | 


| 识别 (J) 和 给 证 | 高 级 选项 (0) LDAp RS): | ] 
| 用 户 帐户 配置 合用 TLS 来 如 在 活 接 (T) 
用 户 帐户 项 据 库 (U) : | 仅 限于 本 地 帐户 人 


验证 (b 方法 : Kerberos 吊 码 四 | 


城 (8) [BAMPEcOM |] 
发 证 配置 
验证 (h) 为 法 : KDC (kK) : [kerberos.example.com | 
管理 服务 器 (m) : [kerberos.example.com | 
口 使 用 DNS 将 主机 吐 析 到 域 〔N) 
口 通过 DNS 查找 领域 的 KDC (|) 
| 还 原 (R) | | NGC) |] | 应 用 A) | ET WMC) | [ROW | 
图 20-6 RHE L6 验证 配置 对 话 框 图 20-7 LDAP 设置 对 话 框 
以 上 步骤 实际 上 会 改变 以 下 3 个 配置 文件 的 内 容 ， 也 可 以 手工 直接 进行 修改 : 
/etc/ldap.conf 
/etc/openldap/ldap.conf 
/etc/nsswitch.conf 


上 面 设置 的 是 LDAP 认证 的 用 户 信息 支持 ， 接 下 来 还 需要 设置 认证 支持 ， 方 法 是 在 

图 20-7 所 示 的 对 话 框 中 的 “验证 方法 ”对 应 的 文本 框 中 选择 “LDAP 密码 ”， 然 后 单 击 “ 应 
”按钮 即 可 。 

按 以 上 方法 设置 了 LDAP 系统 认证 后 ， 以 后 Linux 系统 用 户 登录 时 ， 将 会 按 LDAP 服 

务 器 上 存储 的 用 户 信 息 进行 登录 。 为 了 使 LDAP 目录 中 的 条 目 可 以 作为 用 户 账号 ， 需 要 确 
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定 有 关 用 户 名 和 密码 的 一 些 属性 ， 一 个 典型 的 LDAP 账号 条 目 如 下 所 示 : 


dn: uid=test,ou=People,dc=wzvtc,dc=edu 


uid: test # 此 处 确定 用 户 名 
cn: test 
objectClass: account # 要 使 用 有 关 账 号 的 objectclass 


objectClass: posixAccount 

objectClass: top 

objectClass: shadowAccount 

userPassword: {crypt}!! # 此 处 确定 密码 
shadowLastChange: 14204 

shadowMax: 99999 

shadowWarning: 7 

loginShell: /bin/bash 

uidNumber: 503 

gidNumber: 503 

homeDirectory: /home/test # 用 户 的 主 目录 


此 外 ，openldap-servers 软件 包 还 提供 了 一 些 迁移 工具 ， 可 以 把 账号 从 其 他 地 方 迁 移 到 
LDAP 日 录 ， 这些 工具 统一 存放 在 /usr/share/openldap/migration 目录 ， 是 一 些 Perl 程序 。 例 
如 ， 可 以 使 用 下 面 的 命令 把 存放 在 /etc/passwd 文件 中 的 系统 账号 导出 成 LDIF 文件 : 


# /usr/share/openldap/migration/migrate passwd.pl /etc/passwd Pass.1dif 


上 述 命令 执行 后 ， 将 会 产生 一 个 pass.ldif 文件 ， 里 面包 含 每 一 个 账号 的 LDAP 条 目 ， 
默认 的 根 节点 和 分 枝 节点 是 ou=People,dc=padl,dc=com, 可 以 根据 需要 进行 修改 。 修 改 方法 
可 以 是 直接 修改 产生 的 LDIF 文件 ， 也 可 以 通过 修改 配置 文件 migrate_common.ph 中 的 
$DEFAULT_MAIL_DOMAIN 和 $DEFAULT_BASE 两 个 参数 。 


人 注意 : 上 述 命令 运行 时 要 先 确保 RHEL 6 已 经 安装 了 Perl 支持 包 。 


20.3.2 Apache 服务 器 的 用 户 认 证 


Apache 服务 器 为 用 户 认 证 提供 了 多 种 方式 ， 其 中 就 包括 LDAP 认证 。 为 了 在 Apache 
中 配置 LDAP 认证 ， 需 要 修改 Apache 的 主 配置 文件 。 在 15.3.5 节 配 置 的 Apache 认证 时 ， 
采用 的 是 本 地 的 账号 文件 , 现 如 果 要 改 为 LDAP 认证 , 而 且 需 要 认证 的 目录 是 /varwww/html， 
则 配置 内 容 如 下 : 
<Directory "/var/www/html"> 
Options Indexes FollowSymLinks 
AllowOverride None 
Order allow,deny 
Allow from all 
AuthType Basic 
AuthName "LDAP Login" 
AuthLDAPURL "ldap://127.0.0.1/dc=wzvtc, dc=edu" # 指 定 采 用 LDAP 认证 


require valid-user 
</Directory> 


全 注意 : 上述 配置 能 起 作用 的 前 提 是 Apache 已 经 提供 了 对 LDAP 的 支持 ， 方 法 是 在 生成 
Makefile 文件 的 命令 “./configure” 后面 加 入 “--with-ldap --enable-auth-ldap” 
选项 。 
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20.4 小 结 


目录 实际 上 是 一 种 树 状 的 数据 库 ， 虽 然 不 如 关系 数据 库 有 名 ， 但 在 网 络 管理 领域 的 应 
用 却 非常 广泛 。 本 章 首先 讲述 了 有 关 目 录 服 务 器 的 一 些 基本 知识 ， 包 括 目录 服务 的 概念 、 
X.500、LDAP 协议 等 内 容 ; 然后 再 以 Linux 系统 上 应 用 最 广泛 的 OpenLDAP 软件 为 例 ， 介 
绍 目录 服务 器 的 架设 方法 , 包括 OpenLDAP 的 安装 、 运行、 配置 管理 和 使 用 等 内 容 ; 最 后 ， 
还 介绍 了 OpenLDAP 在 用 户 认证 方面 的 应 用 例子 。 
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NTP (Network Time Protocol， 网 络 时 间 协 议 ) 是 用 于 同步 计算 机 及 网 络 设备 内 部 时 钟 
的 一 种 协议 。 随 着 计算 机 网 络 的 发 展 ， 网 络 设备 越 来 越 多 ， 它 们 之 间 的 时 间 同 步 越 来 越 受 
到 人 们 的 重视 。 本 章 主要 介绍 有 关 NTP 协议 的 基本 知识 以 及 NTP 服务 器 的 安装 、 配 置 、 
运行 和 使 用 方法 。 


21.1 网 络 时 间 服 务 概述 


NTP 协议 的 目的 是 在 国际 互联 网 上 传递 统一 、 标 准 的 时 间 ， 基 于 NTP 协议 构建 的 网 
络 时 间 服 务 器 可 以 为 用 户 提供 授时 服务 ， 根 据 自己 的 时 钟 源 同步 客户 机 的 时 钟 ， 以 提供 高 
精准 度 的 时 间 校 正 。 下 面 介 绍 NTP 协议 的 基本 原理 、 报 文 格式 、 工 作 模式 和 体系 结构 等 
内 容 。 


21.1.1 NTP 协议 用 途 与 工作 原理 


随 着 网 络 规模 的 增 大 ， 各 种 网 络 设备 和 服务 器 越 来 越 多 ， 它 们 的 时 间 往 往 要 求 严 格 一 
致 。 如 果 仅 仅 依靠 管理 员 通 过 手工 方式 修改 系统 时 钟 是 不 现实 的 ， 不 但 工作 量 巨 大 ， 而 且 
也 不 能 保证 时 钟 的 精确 性 。 通 过 NTP， 可 以 很 快 地 同步 网 络 中 各 种 设备 的 时 钟 ， 而 且 能 保 
证 很 高 的 精度 。NTP 主要 用 于 以 下 各 种 场合 。 

口 网 络 管理 过 程 中 ， 分 析 从 不 同 设备 采集 的 日 志 信息 、 调 试 信息 时 ， 需 要 以 时 间作 

为 参照 依据 时 。 
口 计 费 系统 要 求 所 有 相关 设备 的 时 钟 保持 一 致 。 
口 某 些 特殊 功能 ， 如 定时 自动 对 网 络 中 的 部 分 设备 进行 管理 ， 此 时 要 求 这 些 设备 的 


时 钟 保持 一 致 。 

口 协同 处 理 系统 在 处 理 某 些 事件 时 ， 各 个 系统 必须 参考 同一 时 钟 才 能 保证 正确 的 执 
行 顺序 。 

口 备份 服务 器 和 客户 端 之 间 进行 增 量 备份 时 ， 需 要 备份 服务 器 和 客户 端 之 间 保 持 一 
致 的 时 钟 。 


NTP 最 早 是 由 美国 Delaware 大 学 的 Mills 教授 设计 实现 的 ， 从 1982 年 最 初 提出 到 现 
在 已 经 发 展 了 20 多 年 ， 最 新 的 NTPv4 是 当前 正在 开发 的 版 本 ， 但 还 没有 正式 标准 。 目 前 
使 用 的 NTP 几乎 都 是 NTPv3， 它 由 RFC1305 文档 描述 。 另 外 还 有 一 种 秒 级 精度 的 SNTP 
(简单 网 络 时 间 协 议 )， 由 RFC2030 描述 。NTP 协议 属于 TCP/IP 模型 的 应 用 层 协 议 ， 工 作 
在 UDP 协议 之 上 ， 默 认 使 用 的 端口 号 是 123。 

NTP 协议 除了 可 以 估算 数据 包 在 网 络 上 的 往返 延迟 时 间 外 , 还 可 独立 地 估算 计算 机 的 
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时 钟 偏差 , 从 而 实现 在 网 络 上 的 高 精准 度 计算 机 校 时 。 在 大 部 分 情况 下 , NTP 可 以 提供 1 一 
50ms 的 可 信赖 的 同步 时 间 源 和 网 络 工作 路 径 。NTP 协议 的 原理 如 图 21-1 所 示 。 


客户 方 A 服务 器 方 B 
Tl 
S1 
本 加 
S2 T3 
T4 


图 21-1 NTP 协议 工作 原理 图 


客户 机 进行 时 间 校 正 时 需要 发 送 一 个 UDP 数据 包 , 然后 NTP 服务 器 回复 一 个 UDP 数 
据 包 ， 传 输 双 方 都 要 在 数据 包 上 加 上 自己 的 时 间 戳 。 根 据 这 两 个 数据 包 的 发 送 时 间 、 接 收 
时 间 ， 就 可 以 对 客户 机 和 服务 器 的 时 间 差 进行 估计 。 客 户 机 通过 查看 两 个 数据 包 中 所 含 的 
时 间 值 ， 可 以 知道 以 下 4 个 时 间 : 

口 T1: 客户 机 发 送 数 据 包 的 时 刻 ， 来 自 客户 机 的 时 钟 ; 

口 T2: 服务 器 收 到 数据 包 的 时 刻 ， 来 自 服务 器 的 时 钟 ; 

口 T3: 服务 器 回复 数据 包 的 时 刻 ， 来 自 服务 器 的 时 钟 ; 

口 T4: 客户 方 收 到 数据 包 的 时 刻 ， 来 自 客户 机 的 时 钟 。 

再 假设 :5 1 和 62 的 含义 如 下 所 示 。 

口 51: 请 求 数据 包 在 网 络 中 传播 时 所 花费 的 时 间 ; 

口 52: 回复 数据 包 在 网 络 中 传播 时 所 花费 的 时 间 。 

根据 T1、T2、T3、T4 和 6 1、5 2， 再 假设 9 是 客户 机 与 NTP 服务 器 的 时 间 差 ， 则 可 
以 列 出 下 式 。 


T=B-0+6, 
6=6 +6, 
再 假设 请 求 和 回复 数据 包 在 网 上 传输 的 时 间 相 同 ， 即 5 1=5 2， 则 可 解 得 : 
下- 有 刀 -( 人 -全 ) 
2 
5=(D-T)+(O3 -7) 
可 以 看 到 ， 6 、565 只 与 T2 和 Tl 差 值 、T3 和 T4 差 值 相关 ， 而 与 T2 和 T3 差 值 无 关 ， 
即 最 终 的 结果 与 服务 器 处 理 请 求 所 需 的 时 间 无 关 。 于 是 ， 客 户 机 即 可 通过 时 差 9 去 调整 本 
地 时 钟 。 


: =T+0+6, 


0 


外 说 明 : 客户 机 可 以 按 同样 的 方法 再 进行 若干 次 的 调整 ， 以 进一步 提高 精度 。 


在 NTP 协议 中 ， 发 送 UDP 数据 包 时 ， 除 了 采用 单 播 方式 外 ， 还 可 以 采用 组 播 或 广播 
的 方式 。 同 时 ，NTP 协议 还 实现 了 访问 控制 和 MDS5 验证 的 功能 。 


21.1.2 NTP 协议 的 报 文 格式 及 工作 模式 
NTP 协议 有 两 种 不 同类 型 的 报 文 ， 一 种 是 时 钟 同 步 报 文 ， 另 一 种 是 控制 报 文 。 时 钟 同 
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步 报 文 是 NTP 协议 的 核心 内 容 , 而 控制 报 文 主 要 是 为 用 户 提供 一 些 有 关 网 络 管理 的 附加 功 
能 ， 对 于 时 钟 同 步 来 说 不 是 必需 的 。 时 钟 同步 报 文 封装 在 UDP 报 文中 ， 其 格式 如 图 21-2 


所 示 。 


LI| VN | Mode Stratum Poll Precision 
Root delay ( 32bits ) 
Root dispersion ( 32bits ) 
Reference identifier ( 32bits ) 
Reference timestamp ( 64bits ) 


Originate timestamp ( 64bits ) 


Receive timestamp ( 64bits ) 
Transmit timestamp ( 64bits ) 


Authenticator ( optional 96bits ) 


图 21-2 ”时钟 同步 报 文 格式 


时 钟 同步 报 文 格式 中 的 主要 字段 的 解释 如 下 所 示 。 


口 
口 


口 


DoOOOOOOOODO 


LI (Leap Indicator) : 长 度 为 2 比特 ， 值 为 “11” 时 表示 时 钟 未 被 同步 。 

VN (Version Number) : 长 度 为 3 比特 ， 表 示 NTP 的 版 本 号 ， 目 前 使 用 的 绝 大 阐 
分 是 版 本 3。 

Mode: 长 度 为 3 比特 ， 表 示 NTP 的 工作 模式 。0: 未 定义 ; 1: 主动 对 等 体 模式 ; 
2: 被 动 对 等 体 模式 ; 3: 客户 模式 ; 4: 服务 器 模式 ;5: 广播 模式 或 组 播 模 式 ，6: 
此 报 文 为 NTP 控制 报 文 ， 7: 预 留 。 

Stratum: 系统 时 钟 的 层 数 ， 取 值 范 围 为 1 一 16， 它 决定 了 时 钟 的 准确 度 。 层 数 为 1 
的 时 钟 准 确 度 最 高 ， 然 后 依次 递减 。 层 数 为 16 的 时 钟表 示 未 同步 ， 不 能 作为 参考 
时 钟 。 

Poll: 轮 询 时 间 ， 即 两 个 连续 NTP 报 文 之 间 的 时 间 间 隔 。 

Precision: 系统 时 钟 的 精度 。 

Root Delay: 本 地 到 参考 时 钟 源 的 往返 时 间 。 

Root Dispersion: 系统 时 钟 相 对 于 参考 时 钟 的 最 大 误差 。 

Reference Identifier: 参考 时 钟 源 的 标识 。 

Reference Timestamp: 系统 时 钟 最 后 一 次 被 设 定 或 更 新 的 时 间 。 

Originate Timestamp: 发 送 端 发 送 NTP 请 求 报 文 时 的 本 地 时 间 。 

Receive Timestamp: 接收 端 接收 NTP 请 求 报 文 时 的 本 地 时 间 。 

Transmit Timestamp: 接 到 NTP 请 求 报 文 的 服务 器 发 送 应 答 报 文 时 的 本 地 时 间 。 
Authenticator: 认证 信息 。 


计算 机 之 间 通 过 NTP 协议 校正 时 间 时 , 可 以 有 以 下 4 种 工作 模式 , 它们 主要 通过 报 文 
中 Mode 字段 的 值 进行 区 分 。 


1. 客户 端 /服务 器 模式 


客户 端 /服务 器 是 最 简单 的 一 种 模式 。 此 时 ， 客 户 端 首先 向 服务 器 发 送 时 钟 同步 请 求 报 
文 ， 报 文中 的 Mode 字段 设置 为 3， 表 示 是 客户 模式 。 服 务 器 收 到 请 求 报 文 后 将 发 送 应 答 
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报 文 ， 报 文中 的 Mode 字段 设置 为 4， 表示 服务 器 模式 。 客 户 端 收 到 应 答 报 文 后 ， 计 算出 
客户 机 与 NTP 服务 器 的 时 间 差 , 再 同步 到 服务 器 时 间 。 客 户 端 可 以 向 一 台 服 务 器 发 送 多 个 
报 文 ， 或 向 多 台 服 务 器 发 送 报 文 ， 以 提高 同步 时 间 的 准确 度 。 


2. 对 等 体 模式 


在 对 等 体 模式 中 ， 包 含 了 主动 方 和 被 动 方 ， 它 们 之 间 可 以 互相 同步 。 开 始 时 ， 和 客户 
端 /服务 器 一 样 ， 主 动 方 首先 向 被 动 方 发 送 Mode 为 3 的 请 求 报 文 ， 被 动 方 以 Mode 为 4 的 
报 文 应 答 。 然 后 ， 主 动 方向 被 动 方 发 送 Mode 为 1 报 文 ， 表 示 自 己 是 主动 对 等 体 ， 被 动 方 
收 到 报 文 后 将 工作 在 被 动 对 等 体 模式 ， 并 发 送 Mode 为 2 应 答 报 文 ， 表 示 自 己 是 被 动 对 等 
体 。 经 过 以 上 报 文 交互 后 ， 对 等 体 模式 就 建立 起 来 了 ， 双 方 再 进行 时 钟 同步 。 


3. 广播 模式 


在 广播 模式 中 ,服务 器 周期 性 地 向 广播 地 址 255.255.255.255 发 送 时 钟 同步 报 文 ， 报 文 
中 的 Mode 字段 设置 为 5， 表 示 广 播 模 式 。 同 一 子 网 中 的 客户 端 接收 到 第 1 个 广播 报 文 后 ， 
客户 端 向 服务 器 发 送 Mode 字段 为 3 的 报 文 ， 服 务 器 回复 Mode 字段 为 4 的 报 文 ， 于 是 客 
户 端 就 可 以 像 客户 端 /服务 器 模式 一 样 对 自己 的 时 钟 进行 校正 。 然 后 ， 客 户 端 又 继续 侦 听 广 
播报 文 的 到 来 ， 以 便 进 行 下 一 次 校正 。 

4. 组 播 模式 


组 播 模式 与 广播 模式 基本 上 一 样 ， 但 使 用 的 是 组 播 地 址 ， 只 有 同 组 中 的 客户 端 才能 收 
到 组 播报 文 ， 才 能 进行 时 钟 校正 。 


外 说 明 : 用 户 可 以 根据 需要 选择 合适 的 工作 模式 。 广 播 或 组 播 模 式 主要 用 于 不 能 确定 服务 
器 或 对 等 体 IP 地 址 或 者 网 络 中 需要 同步 的 设备 很 多 等 情况 。 如 果 能 确定 服务 器 或 
对 等 体 IP 地 址 的 ,可 以 采用 客户 端 /服务 器 或 对 等 体 模式 ,此 时 的 时 钟 源 比 较 可 靠 。 


21.1.3 NTP 服务 的 网 络 体系 结构 


NTP 服务 中 的 各 个 计算 机 节点 构成 了 一 种 类 树 状 的 网 络 结构 ， 采 用 分 层 管 理 。 网 络 中 
的 节点 有 两 种 角色 ， 即 时 钟 源 或 客户 ， 每 一 层 的 时 钟 源 或 客户 可 以 向 上 一 层 或 本 层 的 时 钟 
源 请 求 时 间 校 正 。 最 高 一 层 为 第 0 层 ， 保 留 为 权威 时 钟 。 

第 1 层 为 一 级 时 钟 源 层 ， 它 是 实际 应 用 中 最 权威 的 时 钟 源 ， 通 常 从 原子 时 钟 或 通过 全 
球 卫星 定位 系统 获得 。 第 1 层 里 面 没 有 任何 客户 ， 只 有 时 钟 源 ， 而 且 这 些 时 钟 源 之 间 相 互 
不 允许 校正 ， 它 们 的 任务 就 是 向 第 2 层 的 时 钟 源 或 客户 发 布 时 间 信 息 。 

第 2 层 及 以 下 各 层 除 层 数 不 同 、 时 间 质 量 不 一 样 之 外 ， 没 有 其 他 本 质 上 的 区 别 。 第 N 
层 上 的 时 钟 源 主要 为 第 N+1 层 的 客户 或 时 钟 源 提供 NTP 服务 ， 但 它们 相互 之 间 也 提供 校 
正 服务 。 如 图 21-3 所 示 的 是 NTP 服务 的 体系 结构 图 。 

在 图 21-3 中 ， 箭 头 表示 时 间 校 正 服务 的 方向 。 从 图 21-3 中 可 以 看 出 ， 上 一 层 主要 为 
下 一 层 提 供 时 间 服 务 ， 即 时 间 质 量 好 的 节点 要 向 时 间 质 量 差 的 节点 提供 服务 。 另 外 ， 同 一 
层 的 时 钟 源 之 间 也 可 以 相互 进行 时 间 校 正 。 


本 
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Stratum N 
SeTVeTS 


二 2 


moscow 


Stratum N+2 
clients 


chicago 


图 21-3 NTP 服务 的 体系 结构 


需要 说 明 的 是 ， 目 前 有 两 类 时 间 标 准 被 广泛 采用 。 一 种 是 基于 天 文学 的 ， 还 有 一 种 则 
以 原子 振动 的 频率 作为 依据 。 国 际 原子 时 的 准确 度 为 每 日 数 纳 秒 ， 而 基于 天 文学 的 世界 时 
准确 度 是 每 日 数 毫秒 。 随 着 时 间 的 增加 ， 原 子 时 和 世界 时 之 间 的 误差 将 会 越 来 越 大 。 为 了 
解决 这 个 问题 ,人们 于 1972 年 规定 了 一 种 称 协调 世界 时 的 时 间 。 协调 世界 时 又 称 世界 标准 
时 间 ， 英 文 简称 是 UTC， 它 就 是 NTP 协议 中 所 指 的 时 间 。 


各 说 明 : 为 了 确保 UTC 与 世界 时 相差 不 会 超过 0.9s， 当 国际 原子 时 和 世界 时 之 间 的 误差 大 到 
一 定 程度 时 ， 需 要 为 UTC 加 上 正 或 负 头 秒 ， 因 此 UTC 与 国际 原子 时 之 间 会 出 现 若 
干 整数 秒 的 差别 。 位 于 巴黎 的 国际 地 球 自转 事务 中 央 局 负责 决定 何 时 加 入 头 秒 。 


21.1.4 时 区 


地 球 是 圆 的 ， 总 是 自 西向 东 自 转 ， 东 边 总 比 西边 先 看 到 太阳 ， 东 边 的 时 间 也 总 比 西边 
的 早 。 因 此 如 果 统 一 都 以 UTC 计时 ， 会 造成 在 同一 时 刻 ， 地 球 上 有 些 地 方 是 白天 ， 有 些 地 
方 是 黑夜 。 这 将 会 给 人 们 的 日 常生 活 和 工作 带 来 许多 不 便 。 

为 了 克服 时 间 上 的 混乱 ，1884 年 在 华盛顿 召开 的 一 次 国际 经 度 会 议 上 ， 规 定 将 全 球 划 
分 为 24 个 时 区 ， 每 个 时 区 跨越 经 度 15”， 时 间 差 正好 是 1h。 每 个 时 区 的 中 央 经 线 上 的 时 
间 就 是 这 个 时 区 内 统一 采用 的 时 间 ， 称 为 区 时 ， 相 邻 两 个 时 区 的 时 间 相 差 1h。 另 外 ， 还 对 
这 些 时 区 统一 进行 命名 ， 称 为 中 时 区 〈 零 时 区 )、 东 1~12 区 , 西 1~12 区 。 
例如 ， 中 国 的 北京 处 在 东 8 区 ， 它 的 时 间 要 比 处 在 东 7 区 的 泰国 早 lh， 而 比 处 在 东 9 
区 的 日 本 晚 1h。 因 此 ， 当 跨 时 区 旅行 时 ， 人 们 需要 随时 调整 自己 的 手表 ， 才 能 和 当地 时 间 
保持 一 致 。 当 向 西 移动 时 ， 每 经 过 一 个 时 区 ， 就 要 把 手表 拨 慢 1h。 当 向 东 移动 时 ， 每 经 过 
一 个 时 区 ， 就 要 把 手表 拨 快 1h。 
以 上 介绍 的 时 区 也 称 为 理论 时 区 ， 但 在 实际 情况 下 ， 为 了 避 开 国界 线 ， 时 区 的 形状 并 
不 规则 ， 而 且 有 些 跨 越 时 区 比较 多 的 国家 为 了 在 全 国 范围 内 采用 统一 的 时 间 ， 一 般 都 把 某 
一 个 时 区 的 时 间作 为 全 国 统一 采用 的 时 间 。 例 如 ， 中 国 把 首都 北京 所 处 的 东 8 区 的 时 间作 
为 全 国 统一 的 时 间 ， 称 为 北京 时 间 。 又 例如 ， 英 国 、 法 国 、 荷 兰 和 比利时 等 国 ， 虽 地 处 中 
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国家 时 间 相 一 致 ， 也 采用 了 东 1 区 的 时 间 。 这 样 的 时 区 也 称 为 


实际 时 区 ， 或 法 定时 区 。 如 表 21-1 所 示 ， 列 出 了 部 分 法 定时 区 的 代号 、 名 称 及 与 UTC 的 


偏差 值 。 
表 21-1 部 分 法 定时 区 列表 

时 区 代号 时 区 名 称 与 UTC 的 偏差 
GMT 格林 威 治 标准 时 间 0:00 
NOR 挪威 标准 时 间 +01:00 
SST 瑞典 夏 时 制 +02:00 
BT 巴格达 时 间 +03:00 
IOT 印度 Chagos 时 间 +05:00 
CCT 中 国 北京 时 间 +08:00 
GST 关岛 标准 时 间 ， 俄 罗斯 时 区 9 +10:00 
AESST 澳大利亚 东部 标准 夏 时 制 +11:00 
NZST 新 西 兰 标准 时 间 +12:00 
WAT 西非 时 间 -01:00 
AKST 阿拉 斯 加 标准 时 间 -09:00 
HST 夏威夷 标准 时 间 -10:00 


外 说 明 : 所 有 的 法 定时 区 有 100 多 个 。 
在 计算 机 系统 中 设置 时 间 时 ， 除 了 设 定 本 地 时 间 外 ， 还 要 指定 法 定时 区 ， 这 样 通过 


Intemet 上 的 NTP 服务 器 校正 时 间 时 ， 才 能 得 到 正确 的 结果 。 


21.2 NTP 服务 器 的 安装 、 运 行 与 配置 


相对 其 他 类 型 的 网 络 服务 器 ，NTP 服务 器 占用 资源 少 ， 功 能 比较 单一 ， 配 置 也 相对 比 
较 简 单 。 在 各 个 UNIX 类 的 操作 系统 中 ,一 般 都 提供 了 NTP 服务 器 的 软件 包 。 下 面 介绍 在 


RHEL 6 系统 中 有 关 NTP 服务 器 的 安装 、 运 行 和 配置 方法 。 
NTP 服务 器 的 安装 与 运行 


2 


NTP 服务 器 是 一 个 开放 源 代码 的 软件 ， 可 以 免费 获取 并 使 用 ， 其 主页 地 址 是 
http:/www.ntp.org/， 目 前 最 新 版 本 是 4.2.4p5 版 ， 源 代码 文件 名 是 ntp-4.2.4p5.tar.gz。 默 认 


情况 下 ，RHEL 6 操作 系统 安装 完成 后 ， 已 经 安装 了 NTP 服务 器 软件 包 ， 可 以 月 


查看 : 


# rpm -qalgrep ntp 


ntpdate-4.2.4p8-2.e16.i686 


ntp-4.2.4p8-2.e16.i686 


fontpackages-filesystem-1.41-1.1.el6.noarch 
# 


日 以 下 命令 


上 述 命令 执行 后 显示 的 ntp-4.2.4p8-2.e16.i686 表示 RHEL 6 中 已 经 安装 了 NTP 服务 器 
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， 版 本 号 是 4.2.4p8。 如 果 NTP 软件 包 还 没有 安装 ， 可 以 从 安装 光盘 复制 相应 的 RPM 
进行 安装 。 安 装 成 功 后 ， 有 关 NTP 服务 器 软件 的 几 个 重要 文件 分 布 如 下 所 示 。 

口 /etc/ntp.conf: NTP 服务 器 的 主 配置 文件 。 

/etc/ntp/keys: 存放 密 钥 的 文件 。 

/etc/ntp/step-tickers: 存放 时 钟 源 主机 的 地 址 。 

/etc/re.d/init.d/ntpd: NTP 服务 器 的 启动 脚本 。 

/usr/bin/ntpstat: 显示 网 络 时 间 的 同步 状态 。 

/usr/sbin/ntp-keygen: 产生 密 钥 对 ， 用 于 NTP 的 加 密 传输 。 

/usr/sbin/ntpd: NTP 服务 器 文件 的 进程 文件 。 

/usr/sbin/ntpdate: 用 于 向 服务 端 请 求 时 钟 同步 的 命令 。 

/usr/sbin/ntpdce: 查询 和 改变 ntpd 进程 的 状态 。 

/usr/sbin/ntpq: 监控 ntpd 进程 的 状态 。 

/usrsbin/mtptime: 读 内 核 时 间 的 程序 。 

/usr/share/doc/ntp-4.2.4p8: NTP 服务 器 说 明文 件 。 

为 了 运行 NTP 服务 器 程序 ， 可 以 输入 以 下 命令 。 

# /etc/rc.d/init.d/ntpd start 

启动 ntpd : [确定 ] 

# ps -eaflgrep ntp 

ntp 15597 1 0 22:57 ? 00:00:00 ntpd -u ntp:ntp -p /var/run/ntpd.pid -g 
15600 12337 0 22:57 ps/0 00:00:00 grep ntp 

可 以 看 到 , NTP 服务 器 进程 ntpd 虽然 是 由 root 用 户 启动 的 , 但 运行 的 身份 是 ntp 用 户 ， 
由 命令 行 中 的 “-u ntp:ntp ”参数 指 定 的 。ntp 用 户 是 在 NTP 软件 包 安 装 的 时 候 自 动 创 


DOOOOOOOOO DO 


， 如 果 采 用 源 代码 方式 安装 ， 还 需要 手工 创建 。 为 了 查看 一 下 ntpd 进程 监听 了 哪些 网 
口 ， 输 入 以 下 命令 ， 

# netstat -anplgrep :123 

udp 0 1 3 295L23 0.0.0.0:*15664/ntpd 
udp 0 bs 2 0.0.0.0:*15664/ntpd 
udp 0 O00 0 0.0.0.0:*15664/ntpd 
udp 0 0 fe80::20c:29ff:fe9e:123 :::*15664/ntpd 
udp 0 QR :*15664/ntpd 
udp 0 0 wei23 :::*15664/ntpd 

# 


可 见 ， 初 始 配置 下 ，NTP 服务 器 监听 的 是 UDP123 端口 。 为 了 使 远程 客户 可 以 使 用 
服务 器 ， 需 要 主机 防火 墙 开放 上 述 端 口 ， 命 令 如 下 : 


# iptables -I INPUT -p udp --dport 123 -j ACCEPT 


用 以 下 命令 清空 防火 墙 的 所 有 规则 


# iptables -F 


上 述 过 程 完 成 后 ，NTP 服务 器 已 经 能 正常 使 用 ， 采 用 的 是 /etc/ntp/ntp.conf 文件 的 初始 
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21.2.2 NTP 服务 器 端 配置 


NTP 配置 文件 的 格式 与 其 他 许多 UNIX 程序 相似 ， 相 对 比较 规范 ， 每 行 包 含 一 项 配置 
内 容 ， 以 配置 选项 名 称 开 始 ， 后 面 跟着 参数 值 或 关键 字 ， 它 们 之 间 用 空格 分 隔 。 在 读 取 配 
置 文件 时 ，ntpd 进程 将 忽略 空 行 和 每 一 行 “#” 后 面 的 注释 。NTP 软件 包 安装 完成 后 ， 已 
经 为 主 配置 文件 /etc/ntp.conf 提供 了 默认 的 内 容 ， 下 面 对 这 些 内 容 进行 解释 。 

/etc/ntp.conf 文件 中 最 常用 的 配置 选项 是 restrict， 它 指定 哪些 计算 机 可 以 和 NTP 服务 
器 进行 时 间 同 步 ， 以 及 具有 什么 样 的 权限 ， 格 式 如 下 : 

restrict [客户 端 IP] mask [IP 掩 码 ] [参数 ] 


“客户 端 IP” 和 “IP 掩 码 ?指定 了 对 网 络 中 哪些 范围 的 计算 机 进行 限制 , 如 果 使 用 default 
关键 字 ， 则 表示 对 所 有 的 计算 机 进行 限制 。 参 数 指定 了 有 具体 的 限制 内 容 ， 常 见 的 参数 如 下 
所 示 。 

口 ignore: 拒绝 连接 到 NTP 服务 器 。 

口 nomodiy: 忽略 所 有 改变 NTP 服务 器 配置 的 报 文 ， 但 可 以 查询 配置 信息 。 

口 noquery: 忽略 所 有 mode 字段 为 6 或 7 的 报 文 ， 客 户 端 不 能 改变 NTP 服务 器 的 配 

置 ， 也 不 能 查询 配置 信息 。 

口 notrap: 不 提供 trap 远程 登录 功能 。trap 服务 是 一 种 远程 事件 日 志 服务 。 

口 notrust: 不 作为 同步 的 时 钟 源 。 

口 nopeer: 提供 时 间 服 务 ， 但 不 作为 对 等 体 。 

口 kod: 向 不 安全 的 访问 者 发 送 Kiss-Of-Death 报 文 。 

下 面 是 /etc/ntp.conf 文件 中 有 关 restrict 选项 的 解释 。 

配置 1: 


restrict default kod nomodify notrap nopeer noquery 
restrict -6 default kod nomodify notrap nopeer noquery # -6 表示 Ipv6 数据 包 


功能 : 允许 所 有 的 客户 机 把 该 NTP 服务 器 作为 校正 时 间 的 时 钟 源 , 但 不 提供 控制 方面 
的 功能 ， 包 括 查询 控制 信息 。 

配置 2; 

reatrict 12720.051 

reatrict =69RT 

功能 : 通过 环 回 接口 127.0.0.1 可 以 进行 所 有 的 访问 控制 。 

配置 3: 


#restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap 


功能 : 本 地 子 网 上 的 计算 机 限制 相对 比较 少 。 

/etc/ntp.conf 文件 中 还 有 一 条 常用 的 配置 选项 是 server, 它 的 作用 是 指定 上 层 NTP 服务 
器 ， 以 及 一 些 连接 的 选项 。 与 这 些 服务 器 连接 时 ， 本 地 NTP 服务 器 的 身份 是 客户 端 ， 它 把 
上 层 服 务 器 作为 时 钟 源 同步 自己 的 本 地 时 钟 。server 选项 的 格式 如 下 : 


server [host] [key n] [version Dj] [prefer] [mode n] [minpoll nl] 
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[ maxpoll n] [iburst] 


其 中 host 是 上 层 NTP 服务 器 的 IP 地 址 或 域名 ， 随 后 所 跟 的 参数 解释 如 下 所 示 。 

口 key: 表示 所 有 发 往 服务 器 的 报 文 包 含 由 密 钥 加 密 的 认证 信息 ，n 是 32 位 的 整数 ， 
表示 密 钥 号 。 

version: 表示 发 往 上 层 服 务 器 的 报 文 使 用 的 版 本 号 , n 默认 是 3, 可 以 是 1 或 者 2。 
prefer: 如 果 有 多 个 server 选项 ， 具 有 该 参数 的 服务 器 优先 使 用 。 

mode: 指定 数据 报 文 mode 字段 的 值 。 

mimpoll: 指定 与 查询 该 服务 器 的 最 小 时 间 间 隔 为 2s，n 默认 为 6， 范 围 为 4~~14。 
maxpoll: 指定 与 查询 该 服务 器 的 最 大 时 间 间 隔 为 2"s, n 默认 为 10， 范 围 为 4 一 14。 
iburst: 当初 始 同 步 请 求 时 ， 采 用 突 发 方式 连接 发 送 8 个 报 文 ， 时 间 间 隔 为 2s。 

下 面 再 解释 /etc/ntp.conf 文件 中 的 其 余 内 容 。 

配置 4: 

server 0.rhel.pool.ntp.org 


server 1.rhel.pool.ntp.org 
server 2.rhel.pool.ntp.org 


功能 : 指定 3 台 上 一 层 服务 器 。 

配置 5: 

#broadcast 192.168.1.255 key 42 

功能 ， 以 广播 模式 工作 ， 定 时 发 送 广 播报 文 ， 并 在 报 文中 使 用 由 42 号 密 钥 加 密 的 认 
证 信息 。 

配置 6: 

#broadcastclient 

功能 : 使 本 地 服务 器 成 为 其 他 以 广播 模式 工作 的 NTP 服务 器 的 客户 端 。 

配置 7: 

#broadcast 224.0.1.1 key 42 

功能 :以 多 播 模式 工作 ， 定 时 发 送 多 播报 文 ， 并 在 报 文中 使 用 由 42 号 密 钥 加 密 的 认 
证 信息 。 以 224 开始 的 IP 地 址 是 多 播 地 址 。 

配置 8: 

#multicastclient 224.0.1.1 # multicast client 

功能 : 使 本 地 服务 器 成 为 其 他 以 多 播 模 式 工 作 的 NTP 服务 器 的 客户 端 。 

配置 9: 


DOOOOO 


#manycastserver 239.255.254.254 # manycast server 

#manycastclient 239.255.254.254 key 42 # manycast client 

功能 : 该 选项 是 NTPv4 中 使 用 的 功能 ， 它 试图 使 多 播客 户 可 以 漫游 到 其 他 子 网 ， 并 与 
该 选项 指定 的 服务 器 联系 。 

配置 10: 


Server 127,.127.1.0 
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fudge 127.127.1.0 stratum 10 


功能 :指定 自己 为 上 一 层 服务 器 ， 当 没有 外 部 的 上 一 层 服务 器 时 ， 是 一 种 为 备份 目的 
的 伪造 。 名 dge 选项 的 stratum 参数 用 来 指定 服务 器 通告 的 层 数 ， 当 参数 为 10 时 ， 处 于 第 
11 层 。 

配置 11: 


driftfile /var/lib/ntp/drift 


功能 : 指定 时 间 偏 移 文件 的 位 置 ，ntpd 进程 对 该 文件 必须 要 有 写 的 权限 。 时 间 偏 移 文 
件 记 录 了 本 地 时 钟 与 权威 时 钟 的 频率 偏 移 ， 根 据 同 步 结 果 每 小 时 更 新 一 次 。 
配置 12: 


keys /etc/ntp/keys 


功能 : 指定 包含 密 钥 的 文件 位 置 。 该 文件 包含 了 采用 对 称 加 密 算法 的 密 钥 ， 每 个 密 钥 
对 应 一 个 编号 。 
配置 13: 


#trustedkey 4 8 42 


功能 : 指定 4、8、42 为 可 信任 的 密 钥 。 
配置 14: 


#requestkey 8 


功能 : 指定 用 于 与 ntpdc 工具 通信 的 密 钥 号 为 8。 
配置 15: 


#controlkey 8 


功能 : 指定 用 于 与 ntpq 工具 通信 的 密 钥 号 为 8。 
以 上 是 有 关 NTP 服务 器 初始 配置 的 解释 。 实 际 上 ，NTP 服务 器 的 配置 内 容 也 是 非常 
丰富 的 ， 其 余 选 项 可 参见 帮助 说 明文 件 。 


21.2.3 NTP 服务 器 的 测试 


在 初始 配置 文件 中 ， 已 经 用 server 选项 为 本 地 NTP 服务 器 指定 了 rhel.pool.ntp.org 域 
中 的 3 台 上 一 层 服务 器 。 默 认 情 况 下 ， 本 地 服务 器 每 隔 64s 都 要 查询 一 下 这 些 上 层 服 务 器 
的 时 间 ， 并 同步 自己 的 本 地 时 钟 。 可 以 用 ntpstat 命令 查看 有 关 本 地 ntpd 进程 的 同步 状态 ， 
如 果 发 现 本 地 时 钟 与 一 个 参考 时 间 源 进行 了 同步 ，ntpstat 命令 会 报告 近似 的 时 间 精 度 : 

# ntpstat 

synchronised to NTP server (61.129.66.79) at stratum 11 

time correct to within 960 ms 
polling server every 64 s 

# 

以 上 结果 显示 ， 本 地 NTP 服务 器 与 上 层 服 务 器 61.129.66.79 进行 了 同步 ， 本 地 服务 器 
的 层 数 为 11， 本 地 时 钟 校正 的 偏差 小 于 960ms， 每 64s 要 查询 一 次 上 层 服务 器 的 时 间 。 

还 有 一 个 NTP 工具 是 ntpq， 它 用 于 监控 ntpd 进程 的 工作 状态 ， 并 对 其 进行 动态 设置 ， 


.493 。 


第 3 篇 Linux 常见 服务 器 架设 


它 与 ntpd 进程 通信 时 使 用 的 是 mode 为 6 的 控制 报 文 。ntpq 可 以 工作 于 交互 模式 ， 也 可 以 


i 


命 


令 行 参数 指定 所 需要 的 功能 。 下 面 是 一 个 ntpq 命令 的 例子 : 


[root@localhost ntp]# ntpq -P 
remote refid st t when poll reach delay offset jitter 


sol i29 6066°79 209.045957 2 W356 ° 60 3770 15.022 9 =1250= 10366624 
LOCAL (0) “LOCL. 10 1 50 64 377 0.000 0.000 0.001 


以 上 命令 列 出 了 所 有 作为 时 钟 源 校正 过 本 地 NTP 服务 器 时 钟 的 上 层 NTP 服务 器 的 列 


。 每 一 列 的 含义 如 下 所 示 。 


口 st; 远程 NTP 服务 器 的 IP 地 址 或 域名 。 带 “* ”的 表示 本 地 NTP 服务 器 与 该 服务 
器 同步 。 

refid: 远程 NTP 服务 器 的 上 层 服务 器 的 IP 地 址 或 域名 。 

st: 远程 NTP 服务 器 所 在 的 层 数 。 

t: 本 地 NTP 服务 器 与 远程 NTP 服务 器 的 通信 方式 ，u: 单 播 : b: 广播 ; 1: 本 地 。 
when: 上 一 次 校正 时 间 与 现在 时 间 的 差 值 。 

poll: 本 地 NTP 服务 器 查询 远程 NTP 服务 器 的 间隔 时 间 。 

reach: 是 一 种 衡量 前 8 次 查询 是 否 成 功 的 位 抢 码 值 。377 表示 都 成 功 , 0 表示 不 成 功 。 
delay: 网 络 延 时 ， 单 位 为 10s。 

offset: 本 地 NTP 服务 器 与 远程 NTP 服务 器 的 时 间 偏 移 。 

jitter: 查询 偏差 的 分 布 值 ， 用 于 表示 远程 NTP 服务 器 的 网 络 延 时 是 否 稳定 ， 单 位 
为 10-s。 


DoOOOOOOODO 


21.3 NTP 客户 端的 配置 


21.2 节 介 绍 了 NTP 服务 器 的 运行 与 配置 的 有 关内 容 。NTP 服务 器 的 主要 作用 是 为 各 


种 客户 端 提 供 时 间 同 步 服 务 ， 此 时 ， 客 户 端 应 该 要 配置 成 能 接受 这 种 服务 。 本 节 介 绍 
Windows 和 Linux 操作 系统 平台 下 的 NTP 客户 端 配置 。 


21.3.1 Linux NTP 客户 端的 配置 


作为 NTP 服务 器 的 主机 是 不 需要 配置 NTP 客户 端的 ， 因 为 它 本 身 要 为 其 他 客户 机 提 


供 时间 服 务 ， 而 且 已 经 定时 通过 更 高 级 别 的 时 间 服 务 器 校正 自己 的 系统 时 钟 。 下 面 介绍 的 
是 没有 运行 NTP 服务 器 的 Linux 系统 如 何 作为 NTP 客户 端 校 正 自己 的 时 间 。 可 以 采用 两 
种 方式 ， 一 种 是 手工 键入 命令 ， 另 一 种 是 通过 图 形 界面 设置 。 当 采用 命令 方式 时 ， 需 要 以 


root 


有 户 的 身份 执行 ntpdate， 具 体 如 下 所 示 : 


# date 

2012 年 09 月 27 日 星期 四 15:11:57 csT 

# ntpdate 10.10.1.29 

20 Dec 10:59:26ntpdate[16926]: step time server 10.10.1.29 offset 308.022695 
sec 

[root@radius os]# date 

2012 年 09 月 27 日 星期 四 15:12:14 CST 

# 


494 。 


第 21 章 ”网络 时 间 服 务 器 的 配置 与 使 用 


以 上 命令 是 在 卫 为 10.10.1.253 的 Linux 主机 上 执行 的 ，10.10.1.29 是 前 面 配置 的 NTP 
服务 器 IP 地 址 。 可 以 看 到 ， 第 1 次 执行 前 ，date 命令 显示 系统 时 间 是 “2012 年 09 月 27 
日 星期 四 15:11:57 CST”， 通 过 NTP 命令 校正 时 间 后 ， 马 上 再 执行 date 命令 时 ， 时 间 变 
成 了 “2012 年 09 月 27 日 星期 四 15:12:14 CST”。 同 时 ， 从 ntpdate 命令 的 提示 中 还 可 以 
看 出 ， 系 统 时 间 调 整 了 17s。 以 上 调整 的 是 Linux 的 系统 时 间 ， 如 果 和 希望 对 硬件 的 时 间 也 
进行 修改 ， 则 还 要 执行 以 下 命令 : 


# hwclock -w 


以 上 命令 把 Linux 系统 时 间 写 入 CMOS 时 钟 ， 它 可 以 由 电池 维持 ， 即 使 计算 机 关机 也 
能 运转 。 下 次 重新 开机 时 ，Linux 初始 的 系统 时 间 将 从 CMOS 时 钟 中 读 取 。 如 果 希 望 能 定 
校正 时 间 ， 可 以 在 /etc/crontab 文件 中 加 入 以 下 一 行内 容 : 


00 7 *** root /usr/sbin/ntpdate 10.10.1.29;/sbin/hwclock -w 


表示 每 天 早上 7:00 要 以 root 用 户 身份 运行 /usr/sbin/ntpdate 命令 ， 以 10.10.1.29 作为 时 
间 服 务 器 ， 校 正 自己 的 系统 时 间 ， 并 将 校正 后 的 时 间 写 入 硬件 时 钟 。 以 上 介绍 的 是 使 用 命 
令 方 式 校正 客户 端的 时 间 ， 下 面 看 一 下 如 何 使 用 图 形 界面 方式 设置 NTP 客户 端 。 

在 RHEL6 桌面 环境 下 选择 “系统 ”| “管理 ”|“ 日 期 和 时 间 ” 命 令 , 则 会 出 现 如 图 21-4 
所 示 的 对 话 框 ， 此 时 可 以 设置 网 络 时间 。 单 击 “ 高 级 选项 ”可 以 进一步 设置 。 接 下 来 将 “在 
网 络 上 同步 日 期 和 时 间 ” 复 选 框 取消 色 选 , 此 时 可 以 改变 系统 日 期 和 时 间 。 将 变 为 如 图 21-5 
所 示 的 内 容 。 


mm 


日 期 和 时 间 (I) | 时 区 (Z) 


当前 日 期 和 时 间 2612 年 69 月 27 日 星期 四 12 时 15 分 46 秒 
问 在 网 络 上 同步 日 期 和 时 间 (y) 


使 用 网 络 时 间 协 议 将 您 计算 机 的 日 期 和 时 间 与 远程 时 间 服 务 器 同步 : 
NTP 服务 器 


2.rhel.pool.ntp.org 


0.rhel.pool.ntp.org [ 添加 (A) ] 
1.rhel.pool.ntp.org | 


也 高 级 选项 (y) 
口 加 过 启动 同步 (5) 
口 使 用 本 地 时 钟 源 (L) 


| 帮助 (H) 取消 (C) | | 确定 (0) | 
图 21-4 RHEL 6 网 络 时 间 设置 


名 说明: 在 图 21-5 中 ， 启 用 网 络 时 间 协 议 实际 上 就 是 启动 了 ntpd 进程 ， 此 时 是 以 NTP 服 
务 器 的 身份 与 上 层 NTP 服务 器 联系 ， 以 校正 自己 的 时 间 。 
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© 日 期 /时 间 属 性 
日 期 和 时 间 (T) | 时 区 (Z) 


当前 日 期 和 8 时间 2812 年 99 月 27 日 星期四 12 时 15 分 55 秒 
口 在 网 洛 上 同步 日 期 和 时 间 (y) 
手动 设置 您 系统 的 日 期 和 时 间 
日 期 (D) 时 间 
[ezozz， “7 >| 时 (H) : 
为 (M : [14 
1 
2345678 秒 (5) : [54 
9 101112131415 
16171819202122 


232425 26 国 2829 
30 


总 


Dj 


a 


帮助 (H) 了 (CC) | | 确定 (0) | 


图 21-5 ”RHEL 56 日 期 /时 间 设 置 


21.3.2 ”Windows NTP 客户 端的 配置 


在 Windows 系统 中 ， 双 击 控制 面板 中 的 “日 期 和 时 间 ” 图 标 ， 或 者 简单 地 双击 桌面 右 
下 角 的 时 钟 ， 将 会 出 现 如 图 21-6 所 示 的 对 话 框 。 单 击 “ 更 改 日 期 和 时 间 设 置 ”命令 ， 此 时 
可 以 手动 修改 日 期 和 时 间 。 如 果 选 择 “Internet 时 间 ” 标 签 ， 则 会 出 现 如 图 21-7 所 示 的 “日 
期 和 时 间 ” 对 话 框 。 然 后 单 击 “ 更 改 设置 ”按钮 ， 则 会 出 现 如 图 21-8 所 示 的 对 话 框 ， 此 时 
可 以 进行 Windows NTP 客户 端 设置 。 


ER [Ex 


一 -一 -一 人 = 
记 一 一 


[日 其 和 时 间 [附加 时 钟 ] Internet 时 间 | 


已 格 计 算 机 设置 为 自动 与 “time.windows.com” 同 步 。 


中 | 
此 计算 机 已 设置 为 生动 定期 同步 . 
r 
2012 年 9 月 27 日 
4 2012 年 9 月 » 村 更 改 设置 (QO.… 
| 喇 ' 一 三 :三 五 六 | 
26 27 28 29 30 31 1 


2345678 
9 10 11 12 13 14 15 
16 17 18 19 20 21 22 
23 24 25 26 园 28 29 
四 


| 什么 是 Internet 时 间 同 步 ? 


更 改 日 期 和 时 间 设置 - | 下 有 0 
sd OKs 10.0K/s 6 
图 21-6 ”Windows 的 日 期 和 时 间 设 置 图 21-7 “日 期 和 时 间 ” 对 话 框 
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二 Intemet 时 间 2 时 = 0 le 


配置 Internet 时 间 设 置 : 
辐 与 Internet 时 间 服 务 器 同步 (S) 


服务 器 (E): time.windows.com - 


此 计算 机 已 设置 为 合 动 定期 同步 . 


Ca (Lm | 


图 21-8 Windows 的 Intemet 时 间 设 置 


默认 情况 下 ，Windows 已 经 起 用 了 Internet 时 间 服 务 ， 也 就 是 说 ， 已 经 配置 为 NTP 客 
户 端 ， 而 且 时 间 服 务 器 是 time.windows.com。 如 果 希 望 改变 时 间 服 务 器 ， 可 以 单 击 图 中 的 
文本 下 拉 列 表 框 选择 时 间 服 务 器 ， 或 者 直接 输入 时 间 服 务 器 的 IP 地 址 或 域名 。 

全 说 明 : 作为 客户 端 ，Windows 查询 服务 器 的 时 间 间 隔 可 以 比较 长 ,默认 设置 是 一 个 星期 ， 
也 可 以 单 击 “ 立 即 更 新 ”按钮 进行 实时 更 新 。 


21.4 小 结 


虽然 一 般 的 用 户 使 用 时 间 服 务 器 并 不 多 ， 但 在 某 些 应 用 和 网 络 管理 中 ， 它 却 是 必 不 可 
少 的 。 本 章 主 要 介绍 有 关 时 间 服 务 器 的 架设 方法 ， 首 先 讲述 了 相关 的 NTP 协议 知识 ; 然后 
以 RHEL 6 发 行 版 自 带 的 NTP 服务 器 软件 为 例 ， 介 绍 了 时 间 服 务 器 的 安装 、 运 行 与 配置 方 
法 ， 最 后 还 分 别 介绍 了 如 何在 Linux 和 Windows 中 配置 NTP 客户 端 。 
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VPN (Virtual Private Network， 虚 拟 专用 网 ) 是 一 种 利用 公共 网 络 来 构建 私人 专用 网 
络 的 技术 , 也 是 一 条 穿越 公用 网 络 的 安全 、 稳定 的 隧道 , 避 开 了 各 种 安全 问题 的 干扰 。VPN 
可 以 使 本 来 只 能 局 限 在 很 小 地 理 范围 内 的 企业 内 部 网 扩展 到 世界 上 的 任何 一 个 角落 。 用 于 
构建 VPN 的 公共 网 络 包括 Internet、 帧 中 继 、ATM 等 。 本 章 主要 介绍 有 关 VPN 的 基础 知 
识 、VPN 服务 器 的 架设 ， 以 及 VPN 的 使 用 等 内 容 。 


22.1 ”VPN 概述 


VPN 技术 非常 复杂 , 它 涉及 到 通信 技术 、 密码 技 术 和 现代 认证 技术 , 是 一 门 交叉 学 科 。 
目前 ， 基 于 客户 端 设备 的 VPN (CPE-based VPN) 主要 包含 了 两 种 技术 ， 即 隧道 技术 与 安 
全 技术 。 本 节 主 要 介绍 一 些 有 关 VPN 的 基础 知识 ， 包 括 VPN 的 原理 、 工 作 过 程 、VPN 协 
议 ， 以 及 VPN 身份 认证 方法 等 内 容 。 

22.1.1 VPN 原理 

VPN 技术 的 本 质 是 在 本 来 能 够 正常 连接 的 主机 之 间 再 建立 一 条 虚拟 通道 , 使 得 双方 可 
以 通过 这 条 虚拟 通道 进行 通信 ,主要 目的 是 为 了 交换 不 能 直接 在 实际 通道 中 传送 的 数据 包 ， 
并 且 可 以 对 数据 进行 加 密 处 理 。 下 面 以 PPTP 协议 为 例 ， 介绍 VPN 的 基本 原理 ， 如 图 22-1 
所 示 。 


=[ GRE |.@L TcP 


NO 
@! 虚拟 接口 再 


1-2-、IP 主机 B pe 
1 ! YT i 0 接口 ; 
加 1 实际 接口 | 
PPP 链 路 层 | 能 路 层 多 相公 PPP 链 路 层 ; 
+T 1; 
物理 层 物理 层 
CE he es i 
主机 A (VPN ) 客 户 端 VPN 服务 器 


图 22-1 VPN 工作 原理 图 


在 图 22-1 中 ， 实 线 框 表示 的 是 正常 情况 下 的 协议 层 。 如 果 主 机 A 上 运行 着 一 个 浏览 
器 进程 , 它 向 主机 B 上 的 Web 服务 器 进程 发 送 一 个 HTTP 请 求 时 , 数据 包 的 流向 如 图 22-1 
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中 的 实 线 箭头 所 示 。 此 时 ， 在 主机 A 中 ，HTTP 请 求 加 上 TCP 封装 ， 交 给 卫 层 ，JP 层 加 
上 IP 头 后 ， 再 通过 实际 接口 继续 往 下 传 到 物理 层 ， 最 终 通 过 物理 线路 到 达 主机 B 的 物理 
层 。 主 机 B 的 物理 层 收 到 这 个 数据 包 后 ， 再 向 上 层 传送 ， 并 一 层 层 地 解除 封装 ， 最 后 把 
HTTP 请 求 交 给 Web 服务 器 进程 。 

当主 机 A 通过 VPN 拨号 与 VPN 服务 器 建立 了 一 个 虚拟 连接 后 , 双方 都 将 创建 一 个 虚 
拟 网 络 接口 ,拥有 一 个 与 实际 接口 不 一 样 的 内 网 IP 地 址 。 同 时 ， 这 两 个 虚拟 接口 的 下 面 还 
将 创建 一 个 虚拟 的 数据 链 路 层 ， 假 设 使 用 的 是 PPP 协议 ， 可 以 称 之 为 PPP 链 路 层 。PPP 链 
路 层 的 功能 实际 上 是 由 双方 创建 的 一 个 进程 来 承担 ， 它 要 为 经 过 的 数据 包 加 上 或 解除 PPP 
封装 。 

GRE 也 称 为 通用 路 由 封装 ， 是 IP 协议 的 上 一 层 协 议 ， 协 议 号 是 47。GRE 提供 了 将 一 
种 协议 的 报 文 在 另 一 种 协议 组 成 的 网 络 中 传输 的 能 力 ， 如 果 对 某 些 网 络 层 协议 (如 IPX) 
的 数据 报 进行 封装 ， 将 可 以 使 这 些 被 封装 的 数据 包 能 够 在 另 一 种 网 络 层 协议 如下) 中 传 
输 。 当 然 ， 为 了 某 种 目的 ，GRE 也 可 以 将 网 络 层 协议 数据 包 封装 后 ， 再 在 同样 的 网 络 层 协 
议 中 传输 。 

有 了 VPN 拨号 建立 的 虚拟 接口 后 ， 下 面 再 看 一 下 主机 A 上 的 浏览 器 访问 主机 B 上 的 
Web 服务 时 ， 数 据 包 的 传递 过 程 。 此 时 ， 主 机 A 上 的 HTTP 请 求 经 过 TCP 封装 后 ， 交 给 
了 IP 层 。 由 于 此 时 主机 A 的 默认 路 由 要 经 过 虚拟 接口 ， 因 此 ，IP 层 就 把 数据 包 通过 虚拟 
接口 交 给 了 PPP 链 路 层 ，PPP 链 路 层 再 加 上 PPP 封装 。 

按 正常 的 协议 流程 ， 此 时 主机 A 的 PPP 链 路 层 应 该 把 加 上 PPP 封装 后 的 数据 帧 继续 
向 下 传 ， 最 后 送 给 主机 B。 但 由 于 主机 B 上 并 没有 PPP 链 路 层 ， 这 样 的 数据 包 如 果 直 接送 
给 主机 B， 将 会 被 丢弃 。 于 是 ，PPP 链 路 层 就 把 这 个 数据 包 交 给 了 GRE 协议 栈 ，GRE 协 
议 栈 在 给 数据 包 加 上 了 一 个 GRE 封装 后 ,又 一 次 送 给 了 IP 层 。 对 于 从 GRE 层 交 过 来 的 数 
据 包 , IP 层 都 将 转发 到 实际 接口 , 并 且 目的 卫 是 VPN 服务 器 的 实际 接口 的 卫 地 址 。 于 是 ， 
接 下 来 按照 正常 的 传递 流程 ， 数 据 包 最 后 通过 实际 线路 到 达 了 VPN 服务 器 的 实际 接口 。 

VPN 服务 器 的 他 层 收 到 这 个 数据 包 后 , 能 够 根据 源 IP 识别 这 是 从 VPN 客户 端 过 来 的 ， 
于 是 解除 了 外 层 的 IP 封装 ， 交 给 GRE 协议 栈 ，GRE 协议 栈 解除 了 GRE 封装 后 ， 接 着 把 这 
个 数据 包 交 给 了 PPP 链 路 层 进程 , 该 进程 去 掉 PPP 封装 , 通过 虚拟 接口 又 一 次 交 给 了 I 了 IP 层 ， 
然后 由 IP 层 根 据 数据 包 内 层 的 目的 IP 进行 路 由 转发 ， 最 后 按 正常 协议 流程 到 达 主 机 了 B。 

图 中 的 虚线 箭头 就 是 VPN 连接 建立 后 , 主机 A 访问 主机 B 的 数据 包 传递 过 程 。 还 有 ， 
如 果 数 据 包 内 层 的 IP 地 址 是 内 网 地 址 ， 则 VPN 服务 器 将 把 该 数据 包 路 由 到 内 网 ， 从 而 使 
主机 A 可 以 通过 VPN 服务 器 访问 内 网 。 


全 注意 ; 实际 上 ， 此 时 VPN 服务 器 把 来 自主 机 A 的 数据 包 的 内 层 他 包 转 给 主机 B 时 ， 需 
要 经 过 NAT 地 址 转换 ， 否则 , 主机 B 回复 的 数据 包 将 无 法 回 到 VPN 服务 器 ， 因 
为 此 时 内 层 卫 的 源 地 址 是 内 网 地 址 。 


以 上 是 PPTP 数据 报 文 的 发 送 流程 ， 读 者 可 以 自行 分 析 主 机 B 回复 给 主机 A 的 数据 包 
的 传递 过 程 。 实 际 上 ,通信 双方 还 通过 实际 网 络 接口 维持 着 一 条 TCP 连接 ,通过 这 个 TCP 
连接 , 双方 交换 有 关 VPN 虚拟 通道 的 控制 信息 。 这 个 TCP 连接 由 VPN 客户 端 拨号 时 发 起 ， 
服务 端 监听 的 是 1723 端口 。 此 外 ， 为 了 数据 传送 安全 ， 用 户 数据 在 进行 PPP 封装 前 ， 还 
可 以 进行 压缩 和 加 密 。 
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22.1.2 VPN 协议 


VPN 是 采用 隧道 技术 进行 通信 的 。 所谓 的 隧道 技术 ,就 是 数据 包 经 过 源 局 域 网 与 公 网 
接口 处 时 ， 由 特定 的 设备 将 这 些 数据 包 作为 负载 封装 在 一 种 可 以 在 公 网 上 传输 的 数据 报 文 
中 ， 当 数据 报 文 到 达 目 的 局 域 网 与 公 网 的 接口 处 时 ， 再 由 相应 的 设备 将 数据 报 文 解 封装 ， 
取出 原来 在 源 局 域 网 中 的 传输 的 数据 包 ， 放 入 目地 局 域 网 。 被 封装 的 局 域 网 数据 包 在 公 网 
上 传递 时 所 经 过 的 逻辑 路 径 被 称 为 “隧道 ” 目前 VPN 使 用 两 种 第 二 层 隧道 协议 ， 即 PPTP 
和 L2TP， 以 及 第 三 层 隧道 协议 IPSec。 


1. PPTP 协议 


PPTP (Point-to-Point Tunneling Protocol， 点 到 点 隧道 协议 ) 在 RFC2637 中 定义 ， 它 将 
PPP 数据 帧 封装 在 IP 数据 包 中 进行 传送 。PPTP 协议 可 以 看 作 是 对 PPP 协议 的 扩展 ， 提 供 
了 PPTP 客户 端 和 PPTP 服务 器 之 间 的 加 密 通 信 。PPTP 客户 端 和 服务 器 进行 VPN 通信 的 
前 提 是 二 者 之 间 有 连通 且 可 用 的 IP 网 络 。 

PPTP 客户 端 和 服务 器 之 间 交 换 的 报 文 有 两 种 ， 控制 报 文 和 数据 报 文 。 控 制 报 文 负责 
PPTP 隧道 的 建立 、 维 护 和 断 开 ， 包 括 一 个 I 了 报头、 一 个 TCP 报头 和 PPTP 控制 信息 。 控 
制 连接 是 由 客户 端 首先 发 起 的 ， 它 向 PPTP 服务 器 监听 的 TCP1723 号 端口 发 送 连 接 请 求 ， 
得 到 回应 后 建立 了 控制 连接 ， 然 后 再 通过 协商 建立 了 PPTP 隧道 ， 用 于 传送 数据 报 文 。 

数据 报 文 负责 传送 真正 的 用 户 数据 。 隧 道 建 好 之 后 , 承载 用 户 数 据 的 全 包 经 过 加 密 和 
或 压缩 之 后 ， 再 依次 经 过 PPP、GRE、 了 P 的 封装 ， 最 终 得 到 一 个 可 以 在 IP 网 络 中 传输 的 
IP 包 ， 送 给 了 PPTP 服务 器 。PPTP 服务 器 接收 到 该 IP 包 后 层 层 解 包 ， 再 经 解密 和 解压 缩 ， 
得 到 了 承载 用 户 数据 的 卫 包 ， 然 后 将 该 PP 包 转 发 到 内 部 网 络 上 。PPTP 采用 RSA 公司 的 
RC4 作为 数据 加 密 算法 ， 保 证 了 隧道 通信 的 安全 性 。 


全 注意 : 除了 也 协 议 外 ， 用 户 数据 包 也 可 以 是 其 他 协议 ， 如 IPX 数据 包 或 NetBEUI 数据 
包 等 。 


2. L2TP 协议 


L2TP (Layer Two Tunneling Protocol， 第 二 层 隧道 协议 ) 由 RFC2661 定义 ， 它 结合 
L2F 协议 和 PPTP 协议 的 优点 ， 由 Cisco、Ascend、Microsoft 等 公司 在 1999 年 联合 制定 的 ， 
已 经 成 为 第 二 层 隧 道 协议 的 工业 标准 ， 得 到 了 众多 网 络 厂商 的 支持 。L2TP 协议 支持 IP、 
X.25、 帧 中 继 或 ATM 作为 传输 协议 ， 但 目前 使 用 得 最 多 的 还 是 基于 卫 网 络 的 L2TP。 

L2TP 主要 由 LAC 和 LNS 组 成 。LAC 也 称 为 L2TP 访问 集中 器 , 是 一 种 由 交换 网 络 设 
备 附 带 的 具有 PPP 端 系统 和 L2TP 协议 处 理 能 力 的 模块 ,为 PSTN/ISDN 用 户 提供 网 络 接 入 
服务 。LNS 也 称 为 L2TP 网 络 服务 器 ， 是 实现 服务 器 端 L2TP 协议 的 软件 ， 它 位 于 PPP 连 
接 的 另 一 端 。.L2TP 隧道 一 般 是 在 LAC 和 LNS 之 间 建 立 的 ,也 可 以 直接 由 LAC 客户 与 LNS 
建立 L2TP 隧道 。 

L2TP 客户 端 与 服务 器 之 间 交 换 的 报 文 包括 控制 报 文 和 数据 报 文 , 两 种 报 文 都 是 把 PPP 
帧 用 UDP 协议 封装 后 进行 传送 。 控 制 报 文 用 于 隧道 的 建立 、 维 护 与 删除 ， 与 PPTP 不 同 ， 
L2TP 不 是 使 用 TCP 协议 进行 隧道 维护 ， 而 是 采用 UDP 协议 ， 默 认 使 用 的 是 1701 端口 。 
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PPTP 和 L2TP 都 使 用 PPP 协议 对 数据 进行 封装 ， 然 后 再 添加 运输 协议 的 包头 ， 以 便 能 
在 互联 网 上 的 传输 。 尽 管 这 两 个 协议 非常 相似 ， 但 也 有 一 些 不 同 之 处 。PPTP 要 求 传输 网 络 
是 IP 网 络 ，L2TP 只 要 求 隧道 媒介 提供 面向 数据 包 的 点 对 点 的 连接 。PPTP 只 能 在 两 端 建立 
一 条 隧道 ， 而 L2TP 支持 在 两 端 使 用 多 条 隧道 。L2TP 可 提供 隧道 验证 ， 而 PPTP 则 不 支持 。 


3. IPSec 协议 


IPSec (Internet Protocol Security，Internet 安全 协议 ) 是 由 IETF 标准 定义 的 Internet 
安全 通信 的 一 系列 规范 ， 它 提供 了 私有 信息 通过 公用 网 的 安全 保障 。 由 于 IPSec 所 处 的 他 
层 是 TCP/IP 协议 的 核心 层 ， 因 此 可 以 有 效 地 保护 各 种 上 层 协议 ， 并 为 各 种 应 用 层 服务 提 
供 一 个 统一 的 安全 平台 。IPSec 也 是 构建 第 三 层 隧道 时 最 常用 的 一 种 协议 ， 将 来 有 可 能 会 
成 为 IP VPN 的 标准 。 

IPSec 的 基本 思想 是 把 与 密码 学 相关 的 安全 机 制 引入 IP 协议， 通过 使 用 现代 密码 学 所 
创立 的 方法 来 支持 保密 和 认证 服务 ， 使 用 户 可 以 有 选择 地 使 用 所 提供 的 功能 ， 并 得 到 所 要 
求 的 安全 服务 。IPSec 是 随 着 IPv6 的 制定 而 产生 的 , 但 由 于 IPv4 的 应 用 还 非常 广泛 ， 所 以 
在 IPSec 规范 的 制定 过 程 中 也 增加 了 对 IPv4 的 支持 。IPSec 主要 包含 了 以 下 内 容 : 

口 安全 关联 和 安全 策略 。 

口 IPSec 协议 的 运行 模式 。 

口 AH (Authentication Header， 认 证 头 ) 协议 。 

口 ESP (Encapsulate Security Payload， 封 装 安全 载荷 ) 协议 。 

口 Internet 密 钥 交 换 协 议 CIKE) 。 

IPSec 规范 相当 复杂 ， 规 范 中 包含 大 量 的 文档 ， 许 多 相关 标准 还 在 不 断 地 完善 中 。 


22.1.3 ”VPN 的 身份 验证 协议 


PPTP 和 L2TP 都 是 对 PPP 帧 进行 再 次 封装 , 以 便 能 通过 公 网 到 达 目 的 地 , 再 解除 封装 ， 
还 原 成 PPP 帧 。 从 这 个 角度 来 说 ， 可 以 认为 双方 是 通过 PPP 协议 进行 通信 的 。 在 PPP 协 
议 中 ， 有 时 候 需 要 对 连接 用 户 的 身份 进行 认证 ， 以 防 非法 用 户 的 PPP 连接 。 认 证 可 以 发 生 
在 PPP 链 路 建立 的 时 候 ， 要 求 链 路 连接 发 起 方 在 认证 选项 中 填写 认证 信息 ， 得 到 接受 方 的 
许可 后 才能 建立 链 路 。 可 以 采用 PAP 或 者 CHAP 身份 验证 方式 对 连接 用 户 进行 身份 验证 ， 
也 可 以 使 用 更 加 灵活 的 EAP 认证 协议 。 

1. PAP 认证 方式 

PAP 认证 方式 非常 简单 ， 被 验证 方 发 送 明 文 的 用 户 名 和 密码 到 验证 方 ， 验 证 方 根据 自 
己 的 网 络 用 户 配置 信息 验证 用 户 和 密码 是 否 正确 , 然后 做 出 不 同 的 选择 。 由 于 PAP 认证 时 ， 
和 户 名 和 密码 在 网 络 中 是 以 明文 的 方式 进行 传递 的 ， 很 可 能 会 在 传输 过 程 中 被 截获 ， 对 网 
络 安全 造成 极 大 的 威胁 ， 因 此 PAP 认证 并 不 是 一 种 健全 的 认证 方法 ， 仅 适用 于 对 安全 要 求 
较 低 的 网 络 环境 。 

2. CHAP 认证 方式 


CHAP (Challenge-Handshake Authentication Protocol， 挑 战 握手 协议 ) 是 PPP 协议 用 来 
认证 用 户 身份 的 另 一 种 方法 ， 由 RFC1994 定义 。 可 以 在 链 路 建立 过 程 中 进行 CHAP 认证 ， 
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也 可 以 在 链 路 建立 后 的 任何 时 候 多 次 使 用 CHAP 认证 。CHAP 验证 对 端 身份 时 ， 有 以 下 3 
个 步骤 。 

(1) 在 链 路 建立 阶段 完成 后 ， 验 证 发 起 者 向 对 端 发 送 一 个 challenge 消息 。 

(2) 对 端 使 用 MD5 等 one-way-hash 函数 计算 该 消息 的 值 ， 并 予以 响应 。 

(3) 验证 发 起 者 收 到 响应 值 后 ， 与 自己 计算 的 hash 值 进行 比较 。 如 果 两 个 值 匹 配 ， 则 
验证 通过 ， 否 则 将 终止 链 路 。 

只 要 链 路 还 存在 ， 以 上 3 个 步骤 随时 都 可 能 会 发 生 ， 也 就 是 说 ， 双 方 随时 都 可 以 对 对 
方 进行 认证 。 通 过 使 用 递增 的 标识 符 和 改变 challenge 的 值 ，CHAP 可 以 防止 对 方 的 重 放 攻 
击 。CHAP 要 求 双方 都 要 知道 明文 的 密码 ， 但 密码 从 来 不 在 网 络 上 传输 。 


3. MS -CHAP 认证 方式 


MS-CHAP 是 微软 版 的 CHAP， 它 有 两 个 版 本 ， 开 始 的 版 本 1 由 RFC2433 定义 ， 后 来 
出 现 版 本 2， 由 RFC2759 定义 。MS-CHAPv2 在 Windows 2000 中 引入 ， 并 在 更 新 Windows 
95 和 Windows98 时 也 提供 了 对 版 本 2 的 支持 ， 最 新 的 Windows Vista 已 经 去 掉 了 对 版 本 1 
的 支持 。 与 标准 的 CHAP 相 比 ，MS-CHAP 主要 有 以 下 特点 : 

口 双方 可 以 通过 协商 起 用 MS-CHAP; 

口 提供 了 一 种 由 验证 发 起 方 控制 的 密码 修改 机 制 ; 

口 提供 了 一 种 由 验证 发 起 方 控制 的 密码 重 试 机 制 ; 

口 定义 失败 时 出 错 的 代码 。 

4. EAP 认证 方式 

还 有 一 种 PPP 认证 协议 是 EAP (Extensible Authentication Protocol， 扩 展 认证 协议 )， 
它 并 不 在 链 路 建立 阶段 指定 认证 方法 ， 而 是 到 了 认证 阶段 才 指定 ， 这 样 就 可 以 在 得 到 更 多 
的 信息 后 再 决定 使 用 什么 认证 方法 。 这 种 机 制 非常 灵活 ， 甚 至 允许 指定 专门 的 认证 服务 器 
来 执行 真正 的 认证 工作 。 


22.2 基于 PPTP 协议 的 VPN 服务 器 架设 


目前 广泛 使 用 VPN 技术 采用 了 第 二 层 隧道 PPTP 和 L2TP， 也 有 一 些 使 用 了 第 三 层 隧 
道 协议 IPSec。 本 节 主 要 介绍 使 用 时 间 最 长 ， 目 前 还 在 广泛 使 用 的 基于 PPTP 协议 的 VPN 
服务 器 的 安装 、 运 行 、 配 置 和 使 用 方法 。 


22.2.1 PPTP VPN 服务 器 的 安装 与 运行 


安装 PPTP 协议 的 VPN 服务 器 可 以 使 用 pptpd 软件 包 ， 它 是 一 个 开放 源 代码 的 软件 ， 
可 以 免费 获取 并 使 用 ， 可 以 从 http://poptop.sourceforge.net/ 下 载 For RHEL6 的 源码 包 , 文件 
名 是 pptpd-1.3.4.targz。 然 后 用 以 下 命令 进行 安装 。 

# tar zxvf pptpd-1.3.4.tar.gz 

# cd pptpd-1.3.4 


#./configure --prefix=/home/pptpd --enable-bcrelay --with-libwrap 
#make 


“SDs 


第 22 章 ”架设 VPN 服务 器 


#make install 
# mkdir /home/pptpd/etc 
# 


配置 PPTP 文件 列子 如 下 : 


cp -p pptpd-1.3.4/samples/pptpd.conf /home/pptpd/etc 
cp -P pptpd-1.3.4/samples/options.conf /home/pptpd/etc 
#vim /home/pptpd/etc/pptpd.confoption /home/pptpd/options pptpd 
#1logwtmp /* 该 选项 最 好 不 要 开启 ， 如 果 开 启 客户 端 有 可 能 登录 不 上 */ 
Tocalip T920168.127 136 

remoteip 192.168.127.136-200 

#vim /home/pptpd/etc/options.pptpdname pptpd 
refuse-pap 

refuse-chap 

refuse-mschap 

require-mschap-v2 

repuire-mppe-128 

proxyarp 

lock 

nobsdcomp 

novj 

novjccomp 

nologfd 

idle 2592000 

ms-dns 202.102.224.68 

ms-dns 202.102.224.68 


安装 成 功 后 ， 有 关 PPTP 服务 器 软件 的 儿 个 重要 文件 分 布 如 下 : 

口 /home/pptpd/etc/options.pptpd /*pptpd 命令 运行 时 选项 存放 在 该 文件 中 */ 
口 /home/pptpd/etc/pptpd.conf/*pptp 服务 器 主 配置 文件 

口 /home/pptpd/sbin/pptpd /*pptpd 服务 器 启动 进程 */ 

添加 客户 端 账号 : 

# vi /etc/ppp/chap-secrets 


# client server secret IP addresses 
test pptpd-vpn test 192.168.2.100 


为 了 运行 PPTP 服务 器 ， 可 以 输入 以 下 命令 。 


#/home/pptpd/sbin/pptpd -c /home/pptpd/etc/pptpd.conf -o /home/pptpd/etc/ 
options.pptpd 

# ps -eaf | grep pptp 

root 9054 1 00:00:00 /home/pptpd/sbin/pptpd -c 
/home/pptpd/etc/pptpd.conf -o /home/pptpd/etc/options.pptpd 

root 17164 4698 0 14:40 pts/5 00:00:00 grep pptp 

# 


可 以 看 到 ，PPTP 服务 器 进程 pptpd 已 经 启动 ,并 且 是 由 root 用 户 运行 的 。 为 了 查看 一 
下 pptpd 进程 监听 了 哪些 网 络 端口 〈 该 服务 器 的 端口 是 1723)， 输 入 以 下 命令 : 


# netstat -anplgrep pptpd 


tcp 0 0 0.0.0.0:1723 0.0.0.0:* LISTEN 17051/pptpd 
unix 2 [] DGRAM 196820 17051/pptpd 
# 


可 见 ， 初 始 配置 下 ，pptpd 进程 除了 创建 一 个 UNIX 套 接 字 以 外 ， 还 要 监听 TCP1732 
端口 , 这 是 PPTP 协议 控制 连接 的 默认 监听 端口 , 客户 端 与 PPTP 服务 器 建立 VPN 连接 前 ， 
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要 先 通过 这 个 端口 与 PPTP 服务 器 建立 TCP 连接 。 为 了 使 远程 客户 可 以 与 PPTP 服务 器 建 
立 VPN 连接 ， 需 要 主机 防火 墙 开 放 上 述 端口 ， 命 令 如 下 : 


# iptables -I INPUT -p tcp --dport 1723 -j ACCEPT 

或 者 在 学 习 或 测试 环境 中 ， 用 以 下 命令 清空 防火 墙 的 所 有 规则 。 

# iptables -F 

上 述 过 程 完成 后 ，PPTP 服务 器 已 经 能 正常 使 用 ， 采 用 的 是 /home/pptpd/etc/pptpd.conf 


文件 的 初始 配置 。 为 了 使 PPTP 服务 器 能 提供 正常 的 VPN 服务 ， 还 需要 对 其 进行 配置 ， 具 
体 方法 见 22.2.2 节 。 
22.2.2 PPTP 服务 器 的 配置 

PPTP 服务 器 配置 文件 的 格式 与 其 他 许多 Unix 程序 相似 ， 每 行 包含 一 项 配置 内 容 ， 以 
配置 选项 名 称 开始 ， 后 面 跟着 参数 值 或 关键 字 , 它们 之 间 用 空格 分 隔 。 在读 取 配 置 文件 时 ， 
pptpd 进程 将 忽略 空 行 和 每 一 行 “#” 后 面 的 注释 。PPTP 服务 器 的 配置 比较 简单 ， 总 共 只 
有 12 个 配置 选项 ， 下 面 对 这 些 选 项 进行 解释 。 

配置 1: 

option option-file 

功能 ;指定 一 个 选项 文件 ， 里 面 的 内 容 作为 pptpd 进程 启动 时 的 命令 行 参数 。 与 执行 
pptpd 命令 时 使 用 “--option” 选 项 指定 参数 效果 是 一 样 的 。 

配置 2: 

stimeout seconds 

功能 : 派生 pptpctrl 进程 处 理 客户 端 连接 以 前 ， 等 客户 端 PPTP 包 的 时 间 ， 单 位 为 秒 ， 
默认 是 10 秒 。 这 个 选项 主要 用 于 防止 DoS 攻击 。 

配置 3: 

debug 

功能 : 启用 调试 模式 。 

配置 4: 


bcrelay internal-interface 

功能 : 是 否 启用 广播 包 中 继 功 能 。 如 果 启 用 ， 将 把 从 internal-interface 接口 收 到 的 广播 
包 转 发 给 客户 端 。 
配置 5: 
connections n 
功能 ， 限 制 客户 端 连接 数 ， 默 认为 100。 如 果 由 pptpd 分 配 人 P 给 客户 端 ， 则 地 址 分 完 
客户 端 连接 也 不 能 建立 。 
配置 6: 


delegate 


外 
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功能 : 默认 情况 下 ， 该 选项 不 存在 。 此 时 ， 由 pptpd 进程 管理 IP 地 址 的 分 配 ， 它 将 把 
下 一 个 可 分 的 IP 分 给 客户 端 。 如 果 存 在 该 选项 ， 则 pptpd 进程 不 负责 IP 地 址 的 分 配 ， 由 
客户 端 对 应 的 pppd 进程 采用 radius 或 chap-secrets 方式 进行 分 配置 。 

配置 7: 

localip ip-specification 

功能 : 在 PPP 连接 隧道 的 本 地 端 使 用 的 IP 地 址 。 如 果 只 指定 一 个 ， 则 所 有 的 客户 端 
对 应 的 服务 端 都 是 这 个 地 址 ;否则 ， 每 个 客户 端 都 必须 要 对 应 不 同 的 服务 端 地 址 。 服 务 端 
地 址 用 完 后 ， 客 户 端的 连接 将 被 拒绝 。 如 果 使 用 了 delegate 选项 ， 则 该 选项 失效 。 

配置 8: 

remoteip ip-specification 

功能 : 指定 分 配给 远程 客户 端的 IP 地 址 。 每 个 连接 的 客户 端 都 必须 分 配 到 一 个 卫 地 
址 ， 要 考虑 与 connections 选项 相 适应 。 如 果 使 用 了 delegate 选项 ， 则 该 选项 失效 。 

配置 9: 

noipparam 

功能 :默认 情况 下 ， 客 户 端 原始 的 人 P 地 址 是 传递 给 ip-up 脚本 。 如 果 存 在 该 选项 ， 将 
不 传递 。 

配置 10: 

listen ip-address 

功能 : 指定 本 地 网 络 接口 的 IP 地 址 ，pptpd 进程 将 只 监听 这 个 网 络 接口 的 PPTP 连接 。 
默认 监听 所 有 本 地 接口 。 

配置 11: 

pidfile pid-file 

功能 : 指定 进程 PID 文件 的 位 置 和 文件 名 。 

配置 12: 

speed speed 

功能 : 指定 PPTP 连接 的 速度 ， 默 认 是 115200bps。Linux 系统 中 ， 该 选项 无 效 。 

options.pptpd 配置 参数 详解 ， 现 做 以 下 注释 。 


auth # 需 要 使 用 /etc/ppp/chap-secrets 文件 来 验证 

lock # 锁 定 PTY 设备 文件 

debug 

Proxyarp # 启 动 ARP 代理 , 如 果 分 配给 客户 端的 IP 地 址 与 内 网 网 卡 在 一 个 子 网 就 需要 启用 ARP 代理 。 
name pptpd #VPN 服务 器 的 名 字 

multilink 

refuse-pap # 拒 绝 pap 身份 验证 

refuse-chap # 拒 绝 chap 身份 验证 

refuse-mschap # 拒 绝 mschap 身份 验证 

require-mschap-v2 # 注 意 在 采用 mschap-v2 身份 验证 方式 时 可 以 同时 使 用 MPPE 进行 加 密 
require-mppe-128 # 使 用 128-bit MPPE 

ms-wins 192.168.1.2 # 在 网 络 邻居 中 看 到 的 机 器 的 IP 填写 到 这 里 

ms-dns 192.168.1.2 #DNS 服务 器 地 址 


"08s 


第 3 篇 Linux 常见 服务 器 架设 


ms-dns 202.102.224.68 # 第 二 个 DNS 服务 器 地 址 
dump 
logfile /var/10g/pptpd.1og # 日 志 存 放 的 路 径 


为 了 使 客户 端 能 正常 地 建立 VPN 连接 ， 需 要 在 /etc/pptpd.conf 文件 中 指定 本 地 端 和 客 
户 端的 耳 地 址 。 因 此 ， 除 了 初始 内 容 以 外 ， 还 需要 在 /etc/pptpd.conf 文件 中 加 入 以 下 两 行 : 

localip 10.68.0.1 

remoteip 10.68.0.100-200 

以 上 两 行 表示 本 地 端 地 址 只 使 用 一 个 ， 分 配给 客户 端的 地 址 范围 是 10.68.0.200 至 
10.60.0.300。 此 外 ， 在 /etc/ppp/chap-secrets 中 ， 保 存 了 VPN 客户 端 拔 入 时 使 用 的 用 户 名 、 
密码 和 分 配 的 IP 地址。 该 文件 初始 内 容 是 没有 账号 的 ， 需 要 按 以 下 格式 加 入 账号 。 

wzvtc pptpd 123 “全 

test pptpd abc 10.68.0.120 

以 上 两 行 表示 添加 了 两 个 VPN 账号 ， 第 一 列 是 用 户 名 。 第 二 列表 示 服 务 器 类 型 ， 此 
处 固定 为 pptpd。 第 三 列 为 密码 。 第 四 列 指定 分 配给 该 账号 的 IP 地址,，“*” 表 示 任 意 地 址 。 
以 上 两 个 文件 修改 完成 后 ， 需 要 用 以 下 命令 重启 pptpd 进程 。 


# /home/pptpd/sbin/pptpd -c /home/pptpd/etc/pptpd.conf -o /home/pptpd/etc/ 
options.pptpd 
# 


重启 成 功 后， 客户 端 将 可 以 使 用 指定 的 账号 与 PPTP 服务 器 建立 VPN 连接 了 。 客户 端 
的 具体 配置 见 22.2.3 节 。 


22.2.3 PPTP Windows 客户 端的 配置 与 使 用 


Windows 7 等 系统 对 VPN 拨号 提供 了 内 置 的 支持 ， 用 户 只 需 按 以 下 步骤 配置 即 可 。 
(1) 选择 “网 络 ”|“ 属 性 ”| “更 改 网 络 设置 ”|“ 设 置 新 的 连接 或 网 络 ” 命 令 ， 将 出 
现 图 22-2 所 示 的 对 话 框 。 


一 | 
( 司 留 设 村 下 或 网 络 


选择 一 个 连接 选项 


连接 到 Internet 


图 22-2 “设置 连接 或 网 络 ” 对 话 框 


» Se 
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(2) 单 击 “ 连 接 到 工作 区 ”选项 ， 然 后 单 击 “ 下 一 步 ” 按 钮 ， 将 出 现 如 图 22-3 所 示 的 


GS sarre I 


您 想 如 何 连 接 ? 


省 使 用 我 的 Internet 连接 (VPN)(1) 
通过 Internet 使 用 直 拟 专用 网 络 (VPN) 末 连接 


本 一 鲁 一 可 


? 直接 拨号 (D) 
不 通过 Internet 直 接 使 用 电话 号 码 来 连 缕 . 
A hy 
什么 星 VPN 连接 ? 


图 22-3 ”您 想 如 何 连接 
(3) 单 击 “使 用 我 的 Internet 连接 (VPN) (1)” 选 项 ， 将 出 现 如 图 22-4 所 示 的 界面 。 


EE 


键入 要 连接 的 Internet 地 址 


网 洛 管理 员 可 提供 此 地 址 。 
Internet 地 址 (D); 192.168.2.109| 
目标 各 称 (E): VPN 连接 


] 使 用 智能 卡 (S) 

多 因 允许 其 他 人 使 用 此 连接 (A) 
这 个 迁 项 允许 可 以 沪 同 这 各 计算 机 的 人 使 用 此 连接 . 
现在 不 连接 ; 仅 进 行 设 置 以 便 稍 后 连接 (D) 


= 


图 22-4 键入 要 连接 的 Intermet 地 址 


(4) 在 “Internet 地 址 (1)” 文 本 框 中 输入 VPN 服务 器 IP 地 址 ， 然 后 单 击 “ 下 一 步 ” 
按钮 ， 将 出 现 如 图 22-5 所 示 的 界面 。 

(5) 在 “用 户 名 ”和 “密码 ”文本 框 中 分 别 填写 VPN 服务 器 分 配 的 用 户 名 及 密码 ， 
然后 单 击 “ 创 建 ” 按 钮 ， 将 出 现 如 图 22-6 所 示 的 界面 。 

(6) 在 该 界面 单 击 “ 跳 过 ”按钮 ， 将 出 现 如 图 22-7 所 示 的 界面 。 

(7) 在 该 界面 单 击 “ 关 闭 ” 按 钮 ， 现 在 该 VPN 连接 就 创建 好 了 。 右 击 桌 面 的 “网 络 ” 


图 标 ， 选 择 “ 属 性 ”命令 ， 将 出 现 如 图 22-8 所 示 的 窗口 。 此 时 ， 可 以 看 到 “VPN 连接 ” 
图 标 ， 这 就 是 刚才 新 创建 的 连接 。 


.507 


"508。 
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SS earre 一 i 

键入 您 的 用 户 名 和 密码 

用 疡 名 (U) bd 

乾 码 (P): | 

显示 字 行 G) 
辐 记 住 此 雍 码 (R) 
域 (可 运 )(D): 
RO | [| BW | 
图 22-5 键入 您 的 用 户 名 和 密码 


瑟 iaIT 人 区 加 


正在 连接 到 VPN 连接 .… 


A Bs 


正在 连接 到 192.168.2.105 正在 使 用 “WAN Miniport (SSTP)”. 


图 22-6 ”正在 连接 到 VPN 连接 


(CB 下 sea 和 


连接 已 经 可 用 


ys 


?3 立即 连接 (N) 


(0 | 


图 22-7 连接 已 经 可 用 
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ee )| 
名 口 - 民 ,网 和 inemet ，RREE ， -1 | 二 Bs- P| 
文件 (” 编 和 (E) 喜 看 VM 工具 Mm 高 级 (N) 帮助 (H) 
组 如 = 巧 ” 团 @ 
[VMware Network Adapter "VMware Network Adapter 
Ms VMnetl A VMn 
和 > 未 识别 的 网 络 未 


VMware Network Adapter 


Cd 
a 
< 


Realtek PCIe GBE Family Contr 


四， 
| 


已 并 连 接 
EP WAN Miniport (PPPOE) 


图 22-8 网 络 连 接 属性 窗口 


全 注意 ; 如 果 右 击 “VPN 连接 ”图 标 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 还 可 以 对 


连接 进行 设置 。 
(8) 双击 该 连接 ， 将 出 现 一 个 登录 对 话 框 ， 如 图 22-9 所 示 。 此 时 ， 输 入 PPTP 服务 器 


上 的 用 户 名 和 密码 ， 然 后 单 击 “ 连 接 ” 按 钮 ， 就 可 以 连接 VPN 服务 器 。 


(9) 这 时 ， 双 击 VPN 连接 图 标 ， 弹 出 连接 状态 对 话 框 。 单 击 “详细 信息 ”按钮 ， 将 


出 现 如 图 22-10 所 示 的 对 话 框 ， 图 中 列 出 了 有 关 该 连接 的 详细 信息 。 


时 ， 


网 绍 连 接 详 组 信息 =| 
FRV .a_n 局 这 接 详 信 息 中 ) 
属性 值 
连接 特定 的 DNS 后 纺 
描述 连接 
物理 地 址 
已 启用 DHCP 否 
IPv4 地 址 192.168.1.1 
IPv4 子 网 搞 码 255. 255. 255. 255 
IPv4 默认 网 关 
ee IPw4 DNS 服务 器 
用 户 名 0): | | ITPv4 TIS 服务 器 
已 启用 NetBIOS ove .， 是 
密码 加) 
域 0): | 
加 为 下 面 用 户 保存 用 户 名 和 富 码 G) 
只 是 我 m | 
国 避 任何 使 用 此 计算 机 的 人 以) | 


人 


图 22-9 VPN 连接 登录 窗口 图 22-10 ”VPN 连接 详细 信息 
客户 端 建立 VPN 连接 后 ，PPTP 服务 器 上 将 建立 相应 的 进程 为 该 客户 端 提供 服务 。 此 


可 以 用 以 下 命令 查看 PPTP 服务 器 上 进程 的 情况 。 

[root@mysql2 etc]# ps -ef | grep PPtpd 

root 5886 se 1 .Ae 00:00:00 /usr/local/pptpd/sbin/pptpd 
-c /usr/local/pptpd/etc/pptpd.conf -c /usr/local/pptpd/etc/options.pptpd 
root 6254 5886 0 14:50 ? 00:00:00 pptpd [192.168.2.102:4412 - 
0000] 

root 6372 2792 0 14:52 pts/0 00:00:00 grep pptpd 


st 
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可 以 发 现 ,客户 端 连接 在 PPTP 服务 器 上 会 增加 一 个 进程 。 另 外 ，PPTP 服务 器 主机 上 
还 会 增加 一 个 网 络 接口 ， 如 下 所 示 。 


# ifconfig 


PPP0 Link encap:Point-to-Point Protocol 
4net addr:192.168.:0.1 P=t=P:192.168.1.1 Mask:255;255.255,.255 
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1400 Metric:1 
RX packets:195 errors:0 dropped:0 overruns:0 frame:0 
TX packets:6 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:3 
RX bytes:22942 (22.4 KiB) TX bytes:86 (86.0 b) 


ifconfig 命令 列 出 了 Linux 系统 中 所 有 的 网 络 接口 ， 可 以 看 到 ，ppp0 接口 是 新 增加 的 ， 
它 的 卫 地 址 是 192.168.1.1, 是 与 所 连接 的 客户 端 相对 应 的 。 还 可 以 用 以 下 命令 看 TCP1723 
端口 的 连接 情况 。 


# netstat -anp | grep :1723 


tcp 0 0 0.0.0.0:1723 0.0.0.0:* 
LISTEN 5886/pptpd 
tcp 0 0 192.168.2.107:1723 192.168.2.102:52126 


ESTABLISHED 6254/pptpd [192.168 
# 


可 以 看 到 ，pptpd 进程 的 1723 端口 与 VPN 客户 端的 初始 地 址 192.168.2.102 建立 了 
个 TCP 连接 ， 这 个 连接 就 是 PPTP 的 控制 连接 。 


223 -让 结 
VPN 是 一 种 非常 有 用 的 网 络 技术 ， 它 为 用 户 提供 了 通过 Internet 连 入 企业 内 部 网 络 的 
方法 。 本 章 主 要 介绍 有 关 VPN 服务 器 的 架设 方法 。 首 先 讲述 的 是 VPN 的 基本 知识 ， 包 括 


VPN 原理 、 各 种 VPN 协议 ; 然后 又 介绍 了 基于 PPTP 协议 的 VPN 服务 器 的 安装 、 运 行 和 
配置 方法 ， 最 后 再 以 Windows 为 例 ， 介 绍 了 PPTP 客户 端的 配置 和 使 用 方法 。 


二 有 
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流 媒体 技术 也 称 为 流 式 传输 技术 ， 是 指 在 网 络 上 按时 间 先 后 次 序 传输 和 播放 的 连续 
音 、 视 频数 据 流 。 随 着 网 络 速 度 的 提高 ， 以 流 媒体 技术 为 核心 的 视频 点 播 、 在 线 电 视 、 远 
程 培 训 等 业务 开展 得 越 来 越 广 泛 。 本 章 主要 介绍 流 媒 体 技术 的 基础 知识 、 流 媒体 服务 器 的 
安装 、 运 行 、 配 置 和 使 用 等 内 容 。 


23.1 流 媒体 技术 基础 


流 媒体 是 指 利用 流 式 传输 技术 传送 的 音频 、 视 频 等 连续 媒体 数据 ， 它 的 核心 是 串 流 
CStreaming) 技术 和 数据 压缩 技术 ， 具 有 连续 性 、 实 时 性 、 时 序 性 3 个 特点 ， 可 以 使 用 顺 
序 流 式 传输 和 实时 流 式 传输 两 种 传输 方式 。 本 节 主 要 介绍 有 关 流 媒体 的 技术 基础 。 


23.1.1 流 媒体 传输 的 基本 原理 


实现 流 式 传输 需要 使 用 缓存 机 制 。 因 为 音频 或 视频 数据 在 网 络 中 是 以 包 的 形式 传输 
的 ， 而 网 络 是 动态 变化 的 ， 各 个 数据 包 选择 的 路 由 可 能 不 尽 相 同 ， 到 达 客 户 端 所 需 的 时 间 
也 就 不 一 样 ， 有 可 能 会 出 现 先 发 的 数据 包 却 后 到 的 情况 。 因 此 ， 客 户 端 如 果 按 照 包 到 达 的 
次 序 播 放 数据 ， 必 然 会 得 到 不 正确 的 结果 。 使 用 缓存 机 制 就 可 以 解决 这 个 问题 ， 客 户 端 收 
到 数据 包 后 先 缓存 起 来 ， 播 放 器 再 从 缓存 中 按 次 序 读 取 数 据 。 

使 用 缓存 机 制 还 可 以 解决 停顿 问题 。 网 络 由 于 某 种 原因 经 常会 有 一 些 突 发 流量 ， 此 时 
会 造成 暂时 的 拥塞 ， 使 流 数据 不 能 实时 到 达 客 户 端 ， 客 户 端的 播放 就 会 出 现 停顿 。 如 果 采 
用 了 缓存 机 制 ， 暂 时 的 网 络 阻塞 并 不 会 影响 播放 效果 ， 因 为 播放 器 可 以 读 取 以 前 缓存 的 数 
据 。 等 网 络 正常 后 ， 新 的 流 数据 将 会 继续 添加 到 缓存 中 。 

虽然 音频 或 视频 等 流 数据 容量 非常 大 ， 但 播放 流 数据 时 所 需 的 缓存 容量 并 不 需要 很 
大 。 因 为 缓存 可 以 使 用 环形 链表 结构 来 存储 数据 ， 已 经 播放 的 内 容 可 以 马上 丢弃 ， 缓 存 可 
以 腾 出 空间 用 于 存放 后 续 尚未 播放 的 内 容 。 

当 传 输 流 数据 时 ， 需 要 使 用 合适 的 传输 协议 。TCP 虽然 是 一 种 可 靠 的 传输 协议 ， 但 由 
于 需要 的 开销 较 多 ， 并 不 适合 传输 实时 性 要 求 很 高 的 流 数据 。 因 此 ， 在 实际 的 流 式 传输 方 
案 中 , TCP 协议 一 般 用 来 传输 控制 信息 ， 而 实时 的 音 视频 数据 则 是 用 效率 更 高 的 RTP/UDP 
等 协议 来 传输 。 流 媒体 传输 的 基本 原理 如 图 23-1 所 示 。 

在 图 23-1 中 ，Web 服务 器 只 是 为 用 户 提供 了 使 用 流 媒 体 的 操作 界面 。 客户 机 上 的 用 户 
在 浏览 器 中 选中 播放 某 一 流 媒体 资源 后 , Web 服务 器 把 有 关 这 一 资源 的 流 媒体 服务 器 地 址 、 
资源 路 径 及 编码 类 型 等 信息 提供 给 客户 端 ， 于 是 客户 端 就 启动 了 流 媒 体 播放 器 ， 与 流 媒体 
服务 器 进行 连接 。 


第 3 篇 Linux 常见 服务 器 架设 


Web http /tcp Web 


Browser server 


Meta file 定位 


控制 信息 RTSP/TCP ( UDP 
Arplayet | OT Yay 


| OO sever 
流 数据 


I 


图 23-1 流 媒体 传输 原理 


客户 端的 流 媒 体 播放 器 与 流 媒 体 服务 器 之 间 交 换 控 制 信息 时 使 用 的 是 RTSP 协议 ， 它 
是 基于 TCP 协议 的 一 种 应 用 层 协 议 ， 默 认 使 用 的 是 554 端口 。RTSP 协议 提供 了 有 关 流 媒 
体 播放 、 快 进 、 快 倒 、 和 暂停 及 录制 等 操作 的 命令 和 方法 。 通 过 RTSP 协议 ， 客 户 端 向 服务 
器 提出 了 播放 某 一 流 媒体 资源 的 请 求 ， 服 务 器 响应 了 这 个 请 求 后 ， 就 可 以 把 流 媒 体 数据 传 
输 给 客户 端 了 。 

需要 注意 的 是 ，RTSP 协议 并 不 具备 传输 流 媒 体 数 据 的 功能 ， 承 担 流 媒 体 数 据 传输 任 
务 的 是 另 一 种 基于 UDP 的 RTP 协议 。 但 在 RTP 协议 传输 流 媒体 数据 的 过 程 中 ，RTSP 连 
接 是 一 直 存 在 的 ， 并 且 控 制 着 流 媒体 数据 的 传输 。 一 旦 流 媒 体 数 据 到 达 了 客户 端 ， 流 媒体 
播放 器 就 可 以 播放 输出 了 。 流 媒体 的 数据 和 控制 信息 使 用 不 同 的 协议 和 连接 时 ， 还 可 以 带 
来 一 个 好 处 ， 就 是 播放 流 媒 体 的 客户 机 和 控制 流 媒体 播放 的 客户 机 可 以 是 不 同 的 计算 机 。 


23.1.2 ”实时 流 媒体 协议 RTSP 


RTSP (Real Time Streaming Protocol， 实 时 流 媒体 协议 ) 是 由 Real Network 和 Netscape 
共同 提出 的 一 种 应 用 层 协 议 ， 它 定义 了 如 何在 IP 网 络 上 有 效 地 传输 流 媒 体 数据 。RTSP 提 
供 了 一 种 机 制 , 使 音频 、 视 频 等 数据 可 以 按照 需要 进行 实时 传输 ， 并且 可 以 实施 诸如 暂停 、 
快 进 等 控制 。 源 数据 可 以 是 存储 的 文件 ， 也 可 以 是 现场 数据 的 反馈 。RTSP 协议 本 身 并 不 
传输 数据 ， 数 据 的 传输 是 通过 基于 UDP 协议 的 RTP 协议 来 完成 的 。 

RTSP 协议 与 HTTP 协议 有 点 类 似 ,通信 双方 是 通过 请 求 消息 和 回应 消息 进行 交互 的 。 
请 求 消息 的 格式 如 下 : 

< 请 求 方法 > <URI> <RTSP 版 本 > 


消息 头 ] 
CR/ LF 


消息 体 ] 


其 中 ， 请 求 方法 包括 PLAY、DESCRIBE 等 ， 可 以 通过 OPTION 方法 得 到 对 方 所 支持 
的 其 他 方法 名 称 。URI 是 对 方 的 地 址 ， 例 如 rtsp://192.168.0.1。“RTSP 版 本 ”一 般 都 是 
RTSP/1.0。 每 一 行 的 最 后 都 是 回 车 换行 符 CRILF， 消 息 头 和 消息 体 之 间 要 有 一 个 空 行 。 回 
应 消息 格式 如 下 : 


<RTSP 版 本 > < 状态 码 > < 解释 > 


[消息 头 ] 
CR/LEF 


[消息 体 ] 
回应 消息 的 格式 规定 与 请 求 消息 类 似 。 其 中 状态 码 是 一 个 3 位 数 ， 后 面 跟随 着 解释 文 
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本 ， 例 如 ，200 表示 成 功 。 

HTTP 协议 是 单 向 的 ， 即 只 能 是 客户 端 提出 请 求 ， 服 务 端 给 予 回 应 ， 而 使 用 RTSP 时 ， 
客户 机 和 服务 器 都 可 以 发 出 请 求 ， 双 方 都 可 以 对 收 到 的 请 求 进行 应 答 ， 即 RTSP 可 以 是 双向 
的 。 一 个 典型 的 RSTP 交互 过 程 如 下 所 示 ， 其 中 C 表示 RTSP 客户 端 ，S 表示 RTSP 服务 端 。 


C->S: OPTION request // 客 户 端 通过 OPTION 方法 询问 服务 端 支持 哪些 方法 
S->C: OPTION response // 服 务 端 进行 回应 , 提供 了 所 支持 方法 的 名 称 


C->S: ” DESCRIBE request  // 客 户 端 通过 DESCRIBE 方法 查询 服务 端 媒 体 的 初始 化 描述 


// 信 息 

S->C: ”DESCRIBE response // 服 务 端 回应 媒体 初始 化 描述 信息 ,采用 的 是 sdp 会 话 描述 
// 格 式 

C->S: SETUP request // 客 户 端 通过 SETUP 方法 设置 会 话 的 属性 、 传 输 模 式 等 参数 ， 
// 并 请 求 建立 会 话 

S->C: SETUP response // 服 务 端 响应 回话 请 求 , 与 客户 端 建立 会 话 , 并 返回 会 话 标识 
// 符 及 其 他 相关 信息 

C->S: PLAY request // 客 户 端 通过 PLAY 方法 请 求 播放 某 一 多 媒体 资源 

S->C: PLAY response // 服 务 器 回应 请 求 ， 开 始 发 送 流 数据 

S->C: // 此 时 ,RTSP 通过 其 他 协议 发 送 流 媒体 数据 


C->S: TEARDOWN request  // 客 户 端 通过 TEARDOWN 方法 请 求 关 闭会 话 
S->C: TEARDOWN response // 服 务 器 回应 请 求 ,会 话 关闭 ,交互 结束 


在 实际 应 用 中 ，RTCP 的 交互 过 程 可 能 和 以 上 过 程 会 有 区 别 ， 但 基本 的 流程 是 一 样 的 。 
且说 明 : 还 有 一 种 常见 的 流 媒 体 协议 是 由 Microsoft 公司 开发 的 MMS 协议 ， 但 Microsoft 
公司 没有 公开 该 协议 。 
23.1.3” 流 媒体 播放 方式 


流 媒 体 服务 器 可 以 提供 多 种 播放 方式 ， 它 可 以 根据 用 户 的 要 求 ， 为 每 个 用 户 独立 地 传 
送 流 数据 ， 实 现 VOD (Video On Demand) 的 功能 ， 也 可 以 为 多 个 用 户 同时 传送 流 数据 ， 
实现 在 线 电视 或 现场 直播 的 功能 。 下 面 介绍 这 些 播放 方式 的 特点 。 

1. 单 播 方 式 

当 采 用 单 播 方 式 时 ， 每 个 客户 端 都 与 流 媒体 服务 器 建立 了 一 个 单独 的 数据 通道 ， 从 服 
务 器 发 送 的 每 个 数据 包 都 只 能 传 给 一 台 客户 机 。 对 用 户 来 说 ， 单 播 方式 可 以 满足 自己 的 个 
性 化 要 求 ， 可 以 根据 需要 随时 使 用 停止 、 暂 停 、 快 进 等 控制 功能 。 但 对 服务 器 还 说 ， 单 播 
方式 无 疑 会 带 来 沉重 的 负担 ， 因 为 它 必 须 为 每 个 用 户 提供 单独 的 查询 ， 向 每 个 用 户 发 送 所 
申请 的 数据 包 复 制 。 当 用 户 数 很 多 时 ， 对 网 络 速度 、 服 务 器 性 能 的 要 求 都 很 高 。 如 果 这 些 
性 能 不 能 满足 要 求 ， 就 会 造成 播放 停顿 ， 甚 至 停止 播放 。 

2. 广播 方式 

承载 流 数据 的 网 络 报 文 还 可 以 使 用 广播 方式 发 送 给 子 网 上 所 有 的 用 户 。 此 时 ， 所 有 的 


sl 


第 3 篇 Linux 常见 服务 器 架设 


日 户 同 时 接受 一 样 的 流 数 据 。 因 此 ， 服 务 器 只 需要 发 送 一 份 数据 复制 就 可 以 为 子 网 上 所 有 
的 用 户 服 务 ， 大 大 减轻 了 服务 器 的 负担 。 但 此 时 ， 客 户 机 只 能 被 动 地 接受 流 数据 ， 而 不 能 
控制 流 。 也 就 是 说 ， 用 户 不 能 暂停 、 快 进 或 后 退 所 播放 的 内 容 ， 而 且 ， 用 户 也 不 能 对 节目 
进行 选择 。 

3. 组 播 方式 


单 播 方式 虽然 为 用 户 提供 了 最 大 的 灵活 性 ， 但 网 络 和 服务 器 的 负担 很 重 。 广 播 方式 虽 
然 可 以 减轻 服务 器 的 负担 ， 但 用 户 不 能 选择 播放 内 容 ， 只 能 被 动 地 接受 流 数 据 。 组 播 吸取 
了 上 述 两 种 传输 方式 的 长 处 ， 可 以 将 数据 包 复制 发 送 给 需要 的 多 个 客户 ， 而 不 是 像 单 播 方 
式 那 样 复制 数据 包 的 多 个 文件 到 网 络 上 ， 也 不 是 像 广播 方式 那样 将 数据 包 发 送 给 那些 不 需 
要 的 客户 ， 从 而 保证 数据 包 占 用 最 小 的 网 络 带宽 。 当 然 ， 组 播 方式 需要 在 具有 组 播 能 力 的 
网 络 上 使 用 。 


23.1.4” 流 媒体 文件 的 压缩 格式 


数据 压缩 技术 也 是 流 媒 体 技术 的 一 项 重要 内 容 。 由 于 视频 数据 的 容量 往往 都 非常 大 ， 
如 果 不 经 过 压缩 或 压缩 得 不 够 ， 则 不 仅 会 增加 服务 器 的 负担 ， 更 重要 的 是 会 占用 大 量 的 网 
络 带宽 ,影响 播放 效果 。 因 此 如 何在 保证 不 影响 观看 效果 或 对 观看 效果 影响 很 小 的 前 提 下 ， 
最 大 限度 地 对 流 数据 进行 压缩 ， 是 流 媒 体 技术 研究 的 一 项 重要 内 容 。 下 面 介绍 几 种 主流 的 
1. AVI 格式 


AVI (Audio Video Interleave， 音 频 视频 交错 ) 是 符合 RIFF 文件 规范 的 数字 音频 与 视 
频 文件 格式 ， 由 Microsoft 公司 开发 ， 目 前 得 到 了 广泛 的 支持 。AVI 格式 支持 256 色 和 了 LE 
压缩 ， 并 允许 视频 和 音频 交错 在 一 起 同步 播放 。 但 AVI 文件 并 未 限定 压缩 算法 ， 只 是 提供 
了 作为 控制 界面 的 标准 。 用 不 同 压缩 算法 生成 的 AVI 文件， 必须 要 使 用 相同 的 解压 缩 算 法 
才能 解压 播放 。AVI 文件 主要 应 用 在 多 媒体 光盘 上 ， 用 来 保存 电影 、 电 视 等 各 种 影像 信息 。 


2. MPEG 格式 


MPEG (Moving Picture Experts Group， 动 态 图 像 专 家 组 ) 是 运动 图 像 压缩 算法 的 国 
际 标准 ， 已 被 几乎 所 有 的 计算 机 平台 共同 支持 。 它 采用 有 损 压缩 算法 减少 运动 图 像 中 的 元 
余 信息 ， 同 时 保证 每 秒 30 帧 的 图 像 刷新 率 。MPEG 标准 包括 视频 压缩 、 音 频 压缩 和 音 视 
频 同步 3 个 部 分 , MPEG 音频 最 典型 的 应 用 就 是 MP3 音频 文件 , 广泛 使 用 的 消费 类 视频 产 
品 如 VCD、DYVD 其 压缩 算法 采用 的 也 是 MPEG 标准 。 

MPEG 压缩 算法 是 针对 运动 图 像 而 设计 的 。 其 基本 思路 是 把 视频 图 像 按时 间 分 段 ， 然 
后 采集 并 保存 每 一 段 的 第 一 帧 数据 ， 其 余 各 帧 只 存储 相对 第 一 帧 发 生变 化 的 部 分 ， 从 而 达 
到 了 数据 压缩 的 目的 。MPEG 采用 了 两 个 基本 的 压缩 技术 : 运动 补偿 技术 〈 预 测 编码 和 插 
补 码 ) 实现 了 时 间 上 的 压缩 ， 变 换 域 技术 (离散 余弦 变换 DCT) 实现 了 空间 上 的 压缩 。 
MPEG 在 保证 图 像 和 声音 质量 的 前 提 下 ， 压 缩 效率 非常 高 ， 平 均 压 缩 比 为 50 : 1， 最 高 可 
达 200 : 1。 
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3. RealVideo 格式 


RealVideo 格式 是 由 Real Networks 公司 开发 的 一 种 流 式 视 频 文件 格式 ， 包 含 在 Real 
Media 音频 视频 压缩 规范 中 ， 其 设计 目标 是 在 低速 率 的 广域网 上 实时 传输 视频 影像 。 
RealVideo 可 以 根据 网 络 的 传输 速度 来 决定 视频 数据 的 压缩 比率 ,从 而 提高 适应 能 力 ， 充 分 
利用 带宽 。 本 章 后 面 将 介绍 的 Helix Server 软件 就 是 由 Real Networks 公司 提供 的 ， 使 用 的 
就 是 Real Video 格式 的 视频 文件 。 

RealVideo 格式 文件 的 扩展 名 有 3 种 ，RA 是 音频 文件 、RM 和 RMVB 是 视频 文件 。 
RMVB 格式 文件 具有 可 变 比 特 率 的 特性 ， 它 在 处 理 较 复杂 的 动态 影像 时 使 用 较 高 的 采样 
率 ， 而 在 处 理 一 般 静 止 画 面 时 则 灵活 地 转换 至 较 低 的 采样 率 ， 从 而 在 不 增加 文件 大 小 的 前 
提 下 提高 了 图 像 质 量 。 


4. QuickTime 格式 


QuickTime 是 由 Apple 公司 开发 的 一 种 音 视频 数据 压缩 格式 ,得 到 了 Mac OS、Microsoft 
Windows 等 主流 操作 系统 平台 的 支持 。QuickTime 文件 格式 提供 了 150 多 种 视频 效果 ， 支 
持 25 位 彩色 ,支持 RLE、JPEG 等 领先 的 集成 压缩 技术 。 此 外 ,QuickTime 还 强化 了 对 Internet 
应 用 的 支持 ， 并 采用 一 种 虚拟 现实 技术 ， 使 用 户 可 以 通过 鼠标 或 键盘 的 交互 式 控 制 ， 观 察 
某 一 地 点 周围 360 度 的 景 像 ， 或 者 从 空间 的 任何 角度 观察 某 一 物体 。QuickTime 以 其 领先 
的 多 媒体 技术 和 跨 平台 特性 、 较 小 的 存储 空间 要 求 、 技 术 细 节 的 独立 性 以 及 系统 的 高 度 开 
放 性 ， 得 到 业界 的 广泛 认可 。QuickTime 格式 文件 的 扩展 名 是 MOV 或 QT。 


5. ASF 和 WMYV 格式 


ASF (Advanced Streaming Format， 高 级 流 格式 ) 是 由 Microsoft 公司 推出 的 一 种 在 
Intemet 上 实时 传播 多 媒体 数据 的 技术 标准 ， 提 供 了 本 地 或 网 络 回放 、 可 扩充 的 媒体 类 型 、 
部 件 下 载 , 以 及 可 扩展 性 等 功能 。 ASF 的 应 用 平台 是 Net Show 服务 器 和 Net Show 播放 器 。 

WMYV 也 是 Microsoft 公司 推出 的 一 种 流 媒体 格式 ， 它 是 以 ASF 为 基础 ， 升 级 扩展 后 
得 到 的 。 在 同等 视频 质量 下 ，WMYV 格式 的 体积 非常 小 ， 因 此 很 适合 在 网 上 播放 和 传输 。 
WMYV 文件 一 般 同 时 包含 视频 和 音频 部 分 ， 视 频 部 分 使 用 Windows Media Video 编码 ， 而 
音频 部 分 使 用 Windows Media Audio 编码 。 音 频 文件 可 以 独立 存在 ， 其 扩展 名 是 WMA。 


23.2 ”Helix Server 的 安装 与 运行 


Helix Server 是 由 著名 的 流 媒 体 技术 服务 商 Real Networks 公司 提供 的 一 种 流 媒 体 服务 
器 软件 ， 利 用 它 可 以 在 网 上 提供 Real Video 和 MMS 格式 文件 的 流 媒 体 播放 服务 ， 配 上 相 
应 设备 后 ， 还 具有 现场 直播 的 功能 。 下 面 介绍 有 关 Helix 服务 器 的 获取 、 安 装 、 运 行 管理 
和 使 用 方法 。 


23.2.1 Helix Server 的 获取 
Helix 服务 器 软件 是 一 个 商业 软件 ， 使 用 时 需要 付费 。 但 RealNetworks 公司 提供 了 这 
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个 软件 的 试用 评估 版 ， 可 以 从 该 公司 的 网 站 下 载 〈 目 前， 该 软件 的 Redhat 6 版 本 还 没有 在 
网 站 上 发 布 ， 在 这 里 使 用 的 是 版 本 5)， 大 小 接近 36MB ， 文 件 名 是 
mbrs-1430-ga-linux-rhel5.zip, 主页 地 址 是 http://www.realnetworks.com/helix/streaming-media- 
server/。 具 体 获 取 步 又 如 下 所 示 。 
(1) 单 击 主页 上 的 Download freetrial 链接 后 ， 会 出 现 一 个 用 户 资料 表单 ， 要 求 填写 相 
应 的 内 容 。 其 中 ， 操 作 系 统 平台 和 电子 邮件 地 址 必须 要 正确 ， 如 图 23-2 所 示 。 
一 了 上 口 - 
CPO [ee vpn rcatremeoris comiorms tei P ~ © x | [CC J 


Ts” Linux (RHEL 5.0) 
First name: * 
Last name:* 
Company 


E-mail Address-* 


Confirm E-mail Address: * 


图 23-2 ”下载 Helix Server 前 需 填写 的 表单 


(2) 用 户 资料 表单 提交 后 ， 还 有 一 个 有 关 用 户 调查 的 表单 ， 填 写 完 成 并 提交 后 ， 将 出 
现下 载 页 面 。 

(3) 在 下 载 页 面 单 击 任 一 个 下 载 按 钮 ， 即 可 下 载 Helix Server 软件 。 

另外 ， 当 安装 Helix Server 时 ， 还 需要 一 个 许可 文件 ， 许 可 文件 的 下 载 位 置 需要 通过 查 
询 邮 箱 获得 。 打 开 刚 才 在 用 户 资料 表单 中 填写 的 邮箱 ， 正 常情 况 下 应 该 会 收 到 一 封 主题 为 
Real Product Licenses 的 邮件 , 单 击 后 , 将 会 看 到 如 图 23-3 所 示 的 内 容 。 其 中 , Download your 
License keyfile 就 是 许可 文件 的 下 载 链接 ， 单 击 后 将 出 现下 载 页 面 ， 就 可 以 下 载 许可 文件 了 。 


全 说明 : 许可 文件 的 文件 名 各 不 相同 ， 不 过 大 都 是 类 似 于 RNKey-Helix_Universal_ Server_ 
10-Stream-nullnull-23803387524244957.lic 这 样 的 名 字 。 


Helix Server 软件 和 对 应 的 许可 文件 下 载 后， 就 可 以 进行 安装 了 ， 详 见 23.2.2 节 。 
23.2.2 ”Helix Server 的 安装 


Helix 服务 器 软件 的 安装 方式 与 大 部 分 的 其 他 服务 器 软件 不 同 ， 不 是 采用 源 代码 方式 ， 
也 不 是 RPM 包 方 式 ， 而 是 通过 执行 一 个 二 进 制 的 安装 程序 安装 的 。 把 23.2.1 节 下 载 的 


a 
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Helix Universal Server License Key Download 


You may download your Helix Universal Server License Key using the link below 


Please make a note of where you save your License File. You will be asked to browse anl 
during installation. 


Download your License Key file 


After downloading your License Key, return to the Helix Universal Server installer to complete pr| 
installation 


Please save your product email and/or bookmark this page. If you ever need to download your 
Key file again, you may do so from this page 


For more information about Helix Universal Server, please visit our site at 


http-//www realnetworks coryproducts/media delivery 上 


‘ » 


图 23-3 Helix Server Unlimited 下 载 页 面 


mbrs-1430-ga-linux-rhel5.zip 文件 复制 到 RHEL 6 系统 ， 并 输入 以 下 命令 进行 解压 。 


# mbrs-1430-ga-linux-rhel5.zip 
servinst mobile linux-rhel5-x86.bin 


# 

由 上 可 见 ， 压 缩 包 中 只 包含 了 一 个 文件 servinst_mobile_linux-rhel5-x86.bin， 它 就 是 
Helix Server 的 安装 程序 ， 可 以 直接 执行 进行 安装 。 但 由 于 该 文件 还 没有 设置 执行 权限 ， 因 
此 需要 通过 chmod 命令 加 上 执行 权限 后 才能 执行 ， 具 体 命令 如 下 所 示 。 

[root@localhost ~]# chmod 755 servinst mobile linux-rhel5-x86.bin 


[root@localhost ~]# ./ servinst mobile linux-rhel5-x86.bin 
Extracting files for Helix installation... 


// 首先 要 进行 自 解压 


Welcome to the Helix Mobile Server (RealNetworks) (14.3.0.268) Setup for UNIX 
Setup will help you get Helix Mobile Server running on your computer. 


Press [Enter] to continue... // 此 处 按 下 Enter 键 继续 

es // 有 关 许 可 文件 的 一 些 提示 内 容 
LicenseKeyFile:[]:/root/RNKey-Helix Universal Server 10-Stream-nullnull 
-23803387524244957 // 此 处 输入 许可 文件 及 路 径 , 再 按 下 Enter 键 


Installation and use of Helix Server requires 
acceptance of the following terms and conditions: 
Press [Enter] to display the license text... 


// 此 处 按 下 Enter 键 显示 许可 文件 内 容 
2 // 许可 文件 内 容 , 要 按 空 格 键 翻 页 , 直至 显示 完 


Choose "Accept" to accept the terms of this 

license agreement and continue with Helix Server setup. 

If you do not accept these terms, enter "No" 

and installation of Helix Server will be cancelled. 

I_ accept the above license: [Accept]:// 此 处 按 下 Enter 键 表 示 接 受 许可 文件 所 列 的 条 款 
Enter the complete Path to the directory where You want 

Helix Server to be installed. You must specify the full 

Pathname of the directory and have write privileges to 


ses 
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the chosen directory. 

Directory: [/root]:/usr/helix _ server// 此 处 输入 安装 目录 , 并 按 下 Enter 键 
Please enter a username and password that you will use 

to access the web-based Helix Server Administrator and monitor. 


Username []: admin // 此 处 输入 管理 员 用 户 名 称 , 并 按 下 Enter 键 
Password []: // 设 定 管理 员 用 户 密码 
Confirm Password [] : // 确 认 管 理 员 用 户 密码 


Please enter a port on which Helix Server will listen for 

RTSP connections. These connections have URLs that begin 

Wieh “rtops//™" 

Port [554]: // 指 定 rtsp 协议 使 用 的 端口 号 ,采用 默认 值 554 

Please enter a port on which Helix Server will listen for 

HTTP connections. These connections have URLs that begin 

with wnttp:// 

Port [80]: 808 //Helix 服务 器 监听 HTTP 连接 的 端口 号 ,如 果 计算 机 上 还 运行 着 其 他 Web 
// 服 务 器 , 应 该 另外 指定 

Please enter a port on which Helix Server will listen for 

MMS connections. These connections have URLs that begin 

with "mms://" 

Bor ol // 指 定 MMS 协议 使 用 的 端口 号 , 使 用 默认 值 1755 

Helix Server will listen for Administrator requests on the 

port shown. This port has been initialized to a random value 

for security. Please verify now that this pre-assigned port 

will not interfere with ports already in use on your system; 

you can change it if necessary. 


Port [21944]: // 访 问 Helix 服务 器 管理 页 面 时 使 用 的 端口 


You have selected the following Helix Server configuration: 


// 下 面 列 出 了 前 面 的 配置 内 容 


Admin User/Password: admin/**** 
Encoder User/Password: admin/**** 
Monitor Password: 这 斋 沉 法 

RTSP Port: 554 

TP Ports 808 

MMS Port: 1755 

Admin Port: 21944 
Destination: /usr/helix server 


Enter [F]inish to begin copying files, or [Pl]revious to go 
back to the previous prompts: [F]: // 如 果 想 修改 上 面 显 示 的 配置 内 容 , 可 以 按 下 P 键 ; 
// 和 否则 , 按 下 Enter 键 选 默 认 的 下 


以 上 步骤 完成 后 ，Helix 服务 器 的 安装 就 结束 了 ， 此 时 ， 在 安装 目录 /usr/helix_server 


下 将 包含 所 有 的 安装 文件 。 其 中 ,该 目录 下 的 rmserver.cfg 文件 是 Helix 服务 器 的 主 配置 文 


件 ， 


Bin 目录 下 的 rmserver 是 Helix 服务 器 的 命令 文件 。 


23.2.3 ”Helix Server 的 运行 与 停止 


提 介 


Helix 服务 器 安装 完成 就 可 以 运行 了 。 它 的 运行 方式 与 其 他 Linux 下 的 服务 器 不 同 , 不 


共 运 行 脚本 ， 需 要 直接 执行 命令 文件 ， 并 以 后 台 方 式 运行 。 当 停止 时 ， 需 要 用 kill 命令 


终止 进程 。 下 面 是 Helix 服务 器 的 运行 方法 。 


# /usr/helix server/Bin/rmserver /usr/helix server/rmserver.cfg 
//"&" 表 示 以 后 台 方 式 运行 进 

[1] 12278 // 进 程 号 为 12278 

Server Started: 27-Sep-2012 17:58:45 


"人 
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Helix Server (c) 1995-2008 RealNetworks, Inc. All rights reserved. 
Version: Helix Server (Tahiti) (12.0.1.215) (Build 175002/12667) 
Platform: linux-rhel5-i686 


Using Config File: /usr/helix server/rmserver.cfg // 配 置 文件 的 位 置 与 名 称 
Linux kernel version 2.6.18-8.el5 detected 

Starting PID 12279 TID 3086006544, procnum 0 (controller) 

Creating Server Space... 

Server has allocated 1.5 gigabytes of memory // 使 用 1.5GB 内 存 
ei TID 17824608, procnum 1 (timer) 


ee AtomicOps...(82.52 ops/usec) 
I: Loading Plugins from /usr/helix server/Plugins... 
// 装 入 各 种 插件 ,下面 是 插件 的 名 称 


I: slicensepln.so 0xf38f50 RealNetworks Licensing Plugin 


I: redbcplin.so 0x89b380 RealNetworks Broadcast Redundancy Plugin 
Starting TID 3080715136, procnum 3 (rmplug) 


Starting TID 3047160704, procnum 19 (streamer) 

# 

当 以 上 命令 执行 时 ,Helix 服务 器 默认 使 用 1.5GB 内 存 , 如 果 想 分 配 更 多 的 内 存 给 Helix 
服务 器 ， 可 以 在 执行 rmserver 命令 时 加 “-m <n>” 选 项 。 > n 为 字 节 数 ， 单 位 为 MB 。 
还 有 ， 当 命令 执行 时 ， 也 可 以 指定 其 他 的 文件 作为 Helix 服务 器 的 配置 文件 。Helix 服务 器 
运行 后 ， 可 以 使 用 下 面 的 命令 查看 进程 的 情况 。 


# ps -eaflgrep rmserver 


root 12278 L2129 009:06pts/1 00:00:00 

/usr/helix server/Bin/rmserver /usr/helix server/rmserver.cfg 
root 12279 12278 009:06? 00:00:01 

/usr/helix server/Bin/rmserver /usr/helix server/rmserver.cfg 
root 12280 12278 009:06? 00:00:00 
/usr/helix_server/Bin/rmserver /usr/helix server/rmserver.cfg 
root 12314 12129 009:11 pts/1 00:00:00 grep rmserver 
# 


可 以 看 到 ， 在 默认 情况 下 ，Helix 服务 器 运行 了 3 个 进程 ， 都 以 root 用 户 的 身份 运行 ， 
其 中 进程 号 为 12278 的 进程 是 另外 两 个 进程 的 父 进程 。 实际 上 , 可 以 对 配置 文件 进行 修改 ， 
以 其 他 用 户 身份 运行 两 个 子 进程 ， 以 增加 系统 的 安全 性 。 


全 说 明 : Helix 服务 器 进程 运行 后 ， 默 认 情 况 下 会 在 安装 目录 的 Logs 子 目录 中 产生 进程 
PID 文件 。 


为 了 使 Helix 服务 器 能 为 网 络 中 的 远程 机 提供 服务 ， 如 果 主 机 启用 了 防火 墙 ， 需 要 开 
放 相 应 的 端口 .Helix 服务 器 监听 的 网 络 端口 较 多 , 其 中 554 端口 是 RTSP 协议 的 默认 端口 ， 
1755 端口 是 MMS 协议 的 默认 端口 。 另 外 ，Helix 服务 器 还 兼 有 Web 服务 器 的 功能 ， 用 户 
在 安装 时 已 经 指定 了 监听 HTTP 连接 的 端口 和 管理 页 面 端 口 。 在 防火 墙 设置 中 ， 这 些 端口 
如 果 有 需要 ， 都 应 该 要 开放 。 ei Helix 服务 器 使 用 的 端口 。 


[root@localhost el netstat I rmserver 


| 


Ce 0 0 LISTEN 12492/rmserver 
tcp 0 0 LISTEN 12492/rmserver 
七 cP 0 0 LISTEN 12492/rmserver 


ls 
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tcp 0 0 808 9 证 LISTEN 12492/rmserver 
CD 0 0 3 3 LISTEN 12492/rmserver 
tcp 0 0 21944 Sr LISTEN 12492/rmserver 
tcp 0 1 汉 LISTEN 12492/rmserver 
udp 0 0 D000 032715 05050.0:* 12492/rmserver 
udp 0 Oo 0 009875 LE 12492/rmserver 
udp 0 A As 12492/rmserver 


另外 , Helix 服务 器 的 流 数据 是 通过 UDP 协议 发 送 的 .默认 情况 下 , 它们 所 使 用 的 UDP 
端口 是 随机 的 。 此 时 ， 客 户 端 的 回复 数据 包 也 需要 通过 同样 的 端口 进来 。 因 此 ， 需 要 开放 
大 量 的 UDP 端口 ， 这 对 安全 是 不 利 的 。 可 以 限定 Helix 服务 器 使 用 的 UDP 端口 范围 ， 但 
在 客户 端 连接 较 多 的 时 候 ， 会 影响 性 能 。 
全 注意 : 为 了 解决 这 个 问题 ，Helix 服务 器 提供 了 一 种 配置 功能 ， 它 可 以 让 客户 端的 回复 
数据 包 限 定 在 一 定 的 UDP 端口 范围 内 ， 此 时 ， 在 防火 墙 上 只 需要 开放 这 个 范围 
的 端口 即 可 。 具 体 方法 见 23.3.2 节 。 
Helix 服务 器 没有 提供 终止 进程 的 脚本 ， 需 要 用 户 使 用 kill 命令 手工 终止 进程 。 此 时 可 
以 根据 前 面 ps 命令 列 出 的 进程 ID 终止 进程 ， 也 可 以 根据 进程 PID 文件 里 的 进程 号 进行 终 
止 ， 具 体 命令 如 下 : 


# kill ‘cat /usr/helix server/rmserver.pid. 


全 注意 :i “” 是 倒 引 号 ,而 不 是 单 引号 。 另外， 在 Helix 服务 器 管理 界面 中 ， 还 提供 了 服 
务 器 重启 的 功能 。 


23.2.4 测试 Helix Server 


Helix 服务 器 运行 成 功 后 ， 就 可 以 在 客户 端 进行 测试 了 。Helix 服务 器 已 经 提供 了 儿 个 
测试 用 的 视频 文件 ， 它 们 在 安装 目录 下 的 Content 子 目录 中 ， 该 子 目录 的 内 容 如 下 所 示 。 


[root@localhost Content]# ls 


3gp clients Helixplaylist.hpl.3gp nscfile Thumbs .db 
Africa Desertrace.wmv iPhone realvideol10.rm 
Archive flash iPhone-src rtpencodersdp 


可 以 看 到 , 里 面包 含 了 各 种 格式 的 视频 文件 ， 下 面 将 通过 在 客户 端 播放 realvideo10.rm 
和 wmvideo.wmyv 两 个 视频 文件 对 Helix 服务 器 进行 测试 。 

访问 realvideo10.rm 时 , 需要 通过 rtsp 协 议 , 访问 方式 为 “rtsp:/<Helix 服务 器 >/[ 路 径 ]/[ 文 
件 ]”。 在 默认 配置 下 ，Content 目录 已 经 被 映射 成 RTSP 协议 URL 的 根 目 录 ， 因 此 ， 可 以 
在 浏览 器 的 地 址 栏 内 输入 rtsp://192.168.2.111/realvideo10.rm 观看 视频 文件 realvideo10.rm， 
如 图 23-4 所 示 。 还 有 一 种 播放 方法 是 直接 在 播放 器 中 输入 上 述 地 址 ， 如 图 23-5 所 示 。 


名 说明 : 以 上 播放 视频 的 链接 可 以 放 在 任何 HTML 文件 中 ， 当 用 户 单 击 链接 提示 时 ， 就 
可 以 播放 相应 的 视频 文件 。 


另外 ，Helix 服务 器 还 提供 了 对 MMS 协议 的 支持 。 通 过 它 ，Helix 服务 器 可 以 播放 微 
软 的 WMYV 格式 的 视频 文件 ， 方 法 是 在 输入 URL 时 ， 把 rtsp 协议 改 为 mms 协议 。 


"53520* 
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打开 URL 地 址 


输入 互联 网 蝇 体 文件 地 址 或 局 域 网 媒体 文件 地 址 


rtsp://192. 168.2. 111/realvideo10.m 


[5E 
图 23-5 直接 在 播放 器 中 输入 地 址 

除了 直接 使 用 流 媒体 协议 访问 视频 文件 外 , Helix 服务 器 还 提供 一 种 服务 端 Web 程序 ， 
使 用 户 在 形式 上 可 以 通过 HTTP 协议 访问 视频 文件 。 在 前 面 的 安装 中 ， 已 经 指定 了 808 作 
为 Helix 服务 器 自 带 的 Web 服务 器 的 监听 端口 ,这 个 自 带 的 Web 服务 器 具有 一 个 特殊 功能 ， 
就 是 用 户 通过 浏览 器 访问 ramgen 目录 时 ， 会 启动 服务 端的 一 个 Web 程序 ， 它 会 把 要 访问 
的 视频 链接 发 送 给 客户 端 。 例 如 ， 如 果 用 户 用 浏览 器 访问 了 如 下 HTML 文本 。 

<a href="http://192.168.2.111:808/ramgen/realvideol10.rm">Play RealMedia</a> 

当 用 户 在 浏览 器 中 单 击 了 “Play RealMedia” 链 接 提示 时 , 则 相当 单 击 了 下 面 这 个 链接 

<a href="http:/ 192.168.2.111:808/launch video.ram">Play RealMedia</a> 

这 个 链接 执行 了 launch_video.ram 程序 ， 它 的 功能 是 促使 浏览 器 启动 播放 器 ， 然 后 再 
把 下 面 这 个 URL 发 给 播放 器 ， 于 是 在 播放 器 中 就 可 以 播放 相应 的 视频 。 


rtsp://192.168.2.111/realvideol10.rm 


上 面 这 个 过 程 对 用 户 是 透明 的 ， 用 户 的 感觉 好 像 是 在 通过 HTTP 协议 播放 视频 。 


a 
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23.3 ”Helix Server 的 基本 配置 


除了 直接 修改 配置 文件 外 , Helix 服务 器 软件 包 还 提供 了 一 个 完整 的 图 形 管理 界面 , 用 
户 可 以 很 方便 地 通过 浏览 器 在 远程 对 Helix 服务 器 进行 管理 。 本 节 主 要 介绍 如 何 通过 图 形 
界面 对 Helix 服务 器 进行 配置 ， 包 含 基本 配置 、 传 输 设置 、 安 全 配置 等 内 容 。 


23.3.1 Helix 服务 器 的 Web 管理 界面 


Helix 服务 器 的 图 形 管理 界面 是 以 Web 形式 提供 的 ， 由 于 Helix 服务 器 自身 己 经 具有 
Web 服务 器 的 功能 ， 因 此 它 不 需要 借助 于 其 他 Web 服务 器 。 在 前 面 的 Helix 服务 器 安装 过 
程 中 ， 已 经 指定 了 管理 端口 号 为 21944, 为 了 运行 Helix 的 管理 模块 ， 需要 在 客户 端 通过 浏 
览 器 访问 以 下 URL。 

http://192.168.2.111:21944/admin/index.html 


其 中 ，192.168.2.111 是 Helix 服务 器 的 地 址 。 在 这 里 使 用 的 是 Kinqueror 浏览 器 ， 将 出 
现 如 图 23-6 所 示 的 登录 窗口 ,此 时 输入 在 安装 Helix 服务 器 时 设 定 的 管理 员 用 户 名 和 密码 ， 
登录 成 功 后 ， 典 型 的 操作 界面 如 图 23-7 所 示 。 


® Helix Administrator: 192.168.2.111 - Konquer 口 X 
文件 (5) 编辑 (E) 视图 (V) 转 到 (G) 书签 (B) 工具 (T) > 四 
全 "请 “全 vv“@ 轩 人 台 " 昌 罗 httpW1i92.v 站 | 


S54 i 
您 需要 提供 用 户 名 和 密码 来 访问 这 个 站 点 * Helix- Administr 
站 点 : localhost.AdminRealm 在 192.168.2.111 

用 户 儿 ; admin 

宙 : [eeel ] 


“| 记 住 密码 


坟 确定 (9) @ 取消 (C) 


图 23-6 ”Helix 管理 模块 的 登录 界面 图 23-7 Helix 管理 模块 的 主 界面 


在 图 23-7 中 ， 左边 列 出 的 是 有 关 设 置 的 菜单 选项 , 包括 7 个 主 菜单 ， 每 个 主 菜单 下 面 
还 有 若干 个 子 菜单 。 当 选中 某 个 子 菜单 后 ， 右 边 将 出 现 有 关 这 个 菜单 项 的 具体 设置 内 容 ， 
用 户 可 以 通过 在 文本 框 内 输入 设置 内 容 或 单 击 界面 上 提供 的 按钮 选项 等 方式 进行 设置 。 设 
置 完 成 后 ， 可 以 单 击 Apply 按钮 保存 设置 ， 或 者 单 击 Reset 按钮 取消 设置 。 


名 注意 : 设置 保存 后 ， 还 不 能 马上 生效 ， 需 要 重启 Helix 服务 器 才能 生效 ， 一 种 简单 的 重 
启 方法 是 单 击 右上 角 的 Restart Server 按钮 。 


23.3.2 ”端口 设置 与 IP 地 址 绑 定 
在 Helix 服务 器 管理 界面 的 Server Setup 主 菜单 中 ， 包 含 了 最 基本 的 服务 器 设置 项 目 。 


。522 。 
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下 面 首先 介绍 一 下 有 关 端 口 和 IP 地 址 绑 定 的 设置 。 选 择 Server Setup|Ports 菜单 后 , 浏览 
窗口 的 右边 将 出 现 如 图 23-8 所 示 的 界面 。 

在 图 23-8 的 端口 设置 界面 中 ，RTSP 端口 是 客户 端 与 服务 器 使 用 RTSP 协议 时 使 用 的 
端口 号 ，RealPlayer、QuickTime 等 播放 器 要 使 用 该 协议 与 Helix 服务 器 进行 交互 ，554 是 
其 默认 值 。HTTP 端口 是 Helix 服务 器 内 置 的 Web 服务 所 使 用 的 端口 ， 不 应 该 与 主机 上 的 
其 他 Web 服务 器 冲突 。MMS 端口 由 微软 的 Media Player 播放 器 使 用 。 

Monitor 端口 用 于 监控 目的 ，Helix 提供 了 一 个 Applet 程序 ， 通 过 它 ， 可 以 实时 查看 服 
务 器 当前 有 哪些 连接 、 每 个 连接 正在 播放 哪个 视频 文件 等 内 容 ， 这 些 监控 数据 是 通过 此 处 
所 设 的 监控 端口 读 取 的 。Admin 端口 就 是 访问 Web 图 形 管理 界面 时 所 使 用 的 端口 。 如 果 加 
以 改变 ， 重 启 后 需要 重新 连接 。Channel Control 端口 用 于 接受 客户 端 以 HTTP 协议 形式 提 
交 的 通道 请 求 ， 用 于 实现 使 用 一 个 RTSP 会 话 控制 多 个 流 数据 的 功能 。 

当 “Enable Ramgen Port Hinting URLs” 设 为 Yes 时 ， 如 果 访 问 rm 文件 的 Web 链接 包 
含 了 /ramgen， 则 Helix 服务 器 在 启动 RealOne Player 播放 器 时 ， 将 访问 更 多 的 端口 。 当 
“Enable HTTP Fail Over URL for ASXGen ” 设 为 Yes 时 , 如 果 Web 链接 包含 /asxgen, 但 Helix 
客户 端 启 动 Windows Media Playe 播放 器 时 MMS 连接 被 阻挡 , 将 通过 HTTP 协议 访问 流 媒 
体 文件 。 
可 以 通过 “UDP Resend Port Range” 选 项 设 定 一 个 UDP 端口 范围 ， 它 可 以 让 客户 端 接 
收 到 流 数 据 后 的 回复 报 文 限定 在 这 个 UDP 端口 范围 内 。 此 时 ，Helix 服务 器 所 在 主机 的 防 
火 墙 可 以 只 开放 这 个 范围 的 端口 ， 而 不 是 开放 所 有 的 UDP 端口 。 

以 上 是 有 关 端 口 的 设置 。 接 下 来 , 在 图 23-7 中 选择 Server Setup 主 菜单 中 的 IP Binding 
子 菜单 。 此 时 ， 单 击 列表 框 右上 角 的 国 图 标 ， 将 在 列表 框 内 添加 一 个 IP 地 址 绑 定 项 目 ， 
然后 可 以 在 右边 的 文本 框 内 进行 修改 ， 如 图 23-9 所 示 。 
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图 23-8 ”端口 设置 界面 图 23-9 IP 地 址 绑 定 界面 


IP 地 址 绑 定 是 指 如 果 Helix 服务 器 主机 上 有 多 个 网 络 接口 ， 则 可 以 使 Helix 服务 器 绑 
定 在 某 个 或 某 儿 个 网 络 接口 上 ， 只 有 被 绑 定 的 网 络 接口 才能 为 网 络 中 的 客户 机 提供 服务 。 
如 果 不 进 行 设置 ， 默 认 要 绑 定 所 有 的 网 络 接口 。 
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全 注 意 : 人 P 地 址 绑 定 的 含义 并 不 是 只 为 这 些 人 P 地 址 提供 服务 。 如果 想 设置 只 有 某 些 卫 才 
能 访问 Helix 服务 器 ， 需 要 在 Access Control 菜单 中 进行 设置 。 


23.3.3 ”连接 控制 与 元 余 服务 器 


下 面 介绍 有 关连 接 控制 与 匈 余 服务 器 的 设置 。 使 用 连接 控制 功能 ， 可 以 实现 限定 客户 
端的 数量 、 客 户 端 播放 器 的 类 型 等 功能 。 在 Server Setup 主 菜单 中 选择 Connection Control 
子 菜单 ， 将 出 现 如 图 23-10 所 示 的 连接 控制 设置 界面 。 

Maximum Client Connections 选项 表示 设置 最 大 允许 的 客户 端 连接 数 ,0 表示 没有 限制 。 
客户 端 连接 数 还 要 受到 许可 文件 的 限制 ， 从 图 23-10 中 的 Maximum Licensed 项 可 以 看 出 ， 
试用 版 的 最 大 连接 数 是 10， 因 此 ， 即 使 不 限制 连接 数 ， 最 大 也 只 能 达到 10 个 客户 连接 。 

随后 的 RealPlayers Only 和 RealPlayer Plus Only 表示 是 否 限 制 客户 端的 流 媒体 播放 器 
的 类 型 。 如 果 选 为 On， 则 客户 端 只 能 使 用 RealPlayer 或 RealPlayer Plus 播放 器 访问 Helix 
服务 器 的 内 容 。Maximum Bandwidth 表示 Helix 服务 器 占用 的 最 大 的 网 络 带 宽 ， 单 位 为 
Kbps。 当 流 媒 体 数 据 的 流量 达到 这 个 带宽 值 时 ，Helix 服务 器 将 不 接受 新 的 流 数 据 连接 请 
求 。Connection Timeout 设置 客户 端 连接 超时 时 间 ， 单位 为 秒 ， 当 客户 端 在 所 设 的 时 间 内 没 
有 任何 反馈 时 ，Helix 服务 器 将 主动 查询 客户 端的 状态 ， 如 果 客 户 端 没有 响应 ， 则 服务 器 将 
中 断 连 接 。 

一 般 情况 下 ， 如 果 Helix 服务 器 与 RealPlayer 播放 器 之 间 的 RTSP 连接 中 断后 ， 
RealPlayer 将 会 尝试 着 重新 与 原来 的 服务 器 进行 连接 。 但 如 果 配置 了 宛 余 服务 器 ， 初 始 时 ， 
Helix 服务 器 将 给 RealPlayer 发 送 一 个 服务 器 列表 ， 由 RealPlayer 选择 其 中 一 台 进 行 连接 。 
如 果 以 后 连接 中 断 ， 则 RealPlayer 可 以 在 服务 器 列表 中 选择 其 他 具有 同样 内 容 的 服务 器 进 
行 连接 ， 从 而 可 以 继续 播放 流 数 据 。 

Helix 的 匈 余 服务 器 配置 界面 如 图 23-11 所 示 ， 它 是 选择 了 Server Setup|Redundant 
Servers 菜单 后 出 现 的 。 单 击 Altemate Servers 列表 框 上 面 的 国 图 标 , 可 以 添加 见 余 服务 器 ， 
右边 的 文本 框 可 以 输入 元 余 服务 器 的 描述 字符 、 卫 地 址 和 RTSP 端口 号 。 
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图 23-10 ”连接 控制 设置 界面 图 23-11 元 余 服务 器 设置 界面 
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Redirect Rules 列表 框 用 于 设置 URL 中 的 各 种 路 径 重 定向 到 哪 台 宛 余 服务 器 ， 如 果 设 
置 “/” 重 定向 到 某 一 台 宛 余 服 务 器 ， 则 所 有 的 URL 连接 失败 时 ，RealPlayer 都 将 会 重 定向 
到 这 人 台 宛 余 服务 器 。 单 击 国 图 标 添加 重 定 向 规则 后 ， 可 以 在 右边 的 文本 框 中 输入 路 径 ， 再 
在 下 面 的 下 拉 式 列表 框 中 选择 见 余 服务 器 。 如 果 Helix 服务 器 的 某 些 路 径 禁止 使 用 匈 余 服 
务 器 ， 可 以 把 这 些 路 径 添 加 到 Exclude Paths 列表 框 中 。 


会 说明: 宛 余 服 务 器 功能 大 大 提高 了 Helix 服务 器 的 可 靠 性 。 


23.3.4 ”加载 点 与 HTTP 分 发 


加 载 点 实际 上 是 设置 了 一 种 虚拟 路 径 ， 当 客户 端的 URL 中 包含 了 这 个 虚拟 路 径 时 ， 
服务 器 将 会 到 与 这 个 虚拟 路 径 所 对 应 的 实际 目录 中 搜索 要 访问 的 文件 。 例 如 ， 如 果 设 置 了 
/tv 这 样 的 虚拟 路 径 与 实际 路 径 /usercontentytvy 相对 应 时 ， 以 后 客户 端 以 
rtsp://10.10.1.29/tv/one.rm 这 样 的 URL 访问 Helix 服务 器 时 ，Helix 将 到 主机 文件 系统 中 的 
/user/content/tv 目录 中 去 寻找 one.rm 文件 。 设 置 加 载 点 的 界面 如 图 23-12 所 示 ， 它 是 选择 
了 Server Setup|Mount Points 命令 后 出 现 的 。 

在 图 23-12 中 ， 可 以 通过 单 击 列表 框 上 面 的 车 图 标 来 添加 加 载 点 ， 然 后 在 右边 的 文本 
框 中 输入 描述 文本 、 加 载 点 、 搜 索 次 序 、 实 际 路 径 ， 并 选择 实际 路 径 是 本 地 的 还 是 网 络 的 ， 
以 及 是 否 允 许 缓 在。 加载 点 也 就 是 前 面 讲 的 虚拟 路 径 ， 搜 索 次 序 用 于 确定 如 果 存 在 同样 的 
加 载 点 时 ， 优 先 使 用 哪个 加 载 点 。 另 外 ， 在 系统 默认 的 设置 中 ， 已 经 事先 定义 了 几 个 加 载 
点 ， 如 图 23-12 所 示 。 

Helix 服务 器 主要 提供 的 是 流 媒体 播放 服务 ， 虽 然 也 提供 Web 服务 器 的 功能 ， 但 并 不 
是 开放 所 有 的 目录 给 客户 端 。 如 果 想 让 客户 机 通过 HTTP 协议 访问 主机 上 的 某 一 目录 ， 则 
需要 把 该 目录 开放 给 客户 端 ， 其 形式 与 设置 加 载 点 有 点 类 似 。 选 择 Server SetupIHTTP 
Delivery 菜单 ， 将 出 现 如 图 23-13 所 示 的 界面 ， 左 边 的 列表 框 内 是 系统 所 设 的 HTTP 分 发 
目录 ， 单 击 某 一 分 发 目录 后 ， 可 以 在 右边 的 文本 框 内 进行 修改 。 
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“Aserver restart is required to effect changes applied to this page. Wi FE 
Lapply [Resee | 时 
图 23-12 加载 点 设置 界面 图 23-13 HTTP 分 发 设置 界面 


用 户 可 以 单 击 分 发 目录 列表 框 上 面 的 国 图 标 添加 自己 的 HTTP 分 发 目录 , 也 可 以 单 击 
其 右边 的 图 标 删 除 所 选 的 HTTP 分 发 目录 。 需 要 注意 的 是 ， 如 果 把 加 载 点 也 设 为 是 HTTP 
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分 发 目录 ， 则 用 户 将 可 以 通过 HTTP 协议 下 载 流 媒 体 文件 。 


全 说 明 : 通过 设置 HTTP 分 发 目录 可 以 使 用 户 通过 Web 端口 访问 媒体 文件 ， 从 而 避 开 了 
由 于 防火 墙 对 其 他 端口 进行 限制 而 不 能 访问 的 问题 。 


23.4 Helix Server 的 安全 设置 


安全 是 任何 服务 器 都 必须 要 考虑 的 问题 , Helix 服务 器 也 提供 了 完整 的 安全 功能 , 可 以 
大 大 减轻 用 户 程序 安全 方面 的 负担 。Helix 安全 设置 包括 访问 控制 、 用 户 数据 库 、 用 户 认 证 
等 内 容 ， 本 节 将 主要 对 这 些 安全 功能 进行 介绍 。 


23.4.1 访问 控制 


访问 控制 主要 用 于 建立 基于 IP 地 址 和 客户 端 链接 的 访问 限制 。 通 过 建立 访问 限制 规 
则 , 可 以 拒绝 或 允许 某 一 组 IP 地 址 或 某 一 台 客 户 机 访问 服务 器 端口 。 如 果 某 一 台 客户 机 的 
流 媒体 播放 器 不 被 允许 访问 服务 器 ， 则 它 会 收 到 URL 无 效 或 连接 超时 的 提示 。Helix 的 访 
问 规则 包含 以 下 内 容 。 
口 规则 次 序 : Helix 可 以 有 很 多 的 访问 规则 ， 规 则 的 次 序 对 于 最 终结 果 是 很 重要 的 ， 
Helix 从 第 一 条 规则 开始 与 客户 机 的 IP 地 址 进行 匹配 ， 一 旦 客户 机 的 人 P 落 在 了 某 
一 条 规则 指定 的 地 址 范围 ， 则 要 按照 这 条 规则 指定 的 动作 ， 人 允许 或 禁止 访问 。 因 
此 ， 如 果 一 台 客 户 机 IP 可 以 同时 与 多 条 规则 匹配 ， 则 执行 其 中 第 一 条 规则 指定 的 
动作 。 
口 访问 动作 : 表示 是 允许 还 是 禁止 访问 。 
口 客户 机 IP 地 址 : 可 以 是 单个 地 址 , 也 可 以 是 人 PP 地址 范围 , 或 掩 码 表示 的 子 网 地 址 。 
口 服务 器 IP 地 址 : 如 果 Helix 服务 器 有 多 个 网 络 接口 ， 则 可 以 指定 该 规则 是 针对 哪 
一 个 接口 的 。 
口 端口 : 指定 该 规则 是 针对 哪 一 个 服务 器 端口 的 。 
设置 访问 控制 的 方法 如 图 23-14 所 示 ， 它 是 选择 SECURITY|Access Control 命令 后 出 
现 的 。 左边 的 列表 框 中 列 出 规则 的 名 称 ， 右 边 列 出 了 所 选 规则 的 具体 内 容 ，any 表示 所 有 。 
可 以 看 到 ， 在 默认 情况 下 ， 已 经 存在 一 条 Allow all other connections 规则 ， 它 的 各 项 内 容 
设置 成 允许 所 有 的 客户 机 和 服务 器 的 任何 网 络 接口 和 任何 端口 进行 连接 。 
用 户 可 以 通过 列表 框 上 的 国 图 标 添加 自己 的 访问 控制 规则 , 或 者 通过 回 图 标 删 除 选中 
的 规则 ,以 及 通过 加 图 标 复制 选中 的 规则 。 特别 地 , 访问 控制 规则 的 次 序 也 可 以 进行 调整 ， 
通过 单 击 因 和 加 图 标 可 以 分 别 将 选中 的 规则 上 移 或 下 移 。 
23.4.2 用户 账 号 数据 库 
为 了 保证 用 户 的 合法 性 , Helix 服务 器 提供 了 用 户 认证 的 功能 。 它 事先 提供 了 一 些 用 户 
账号 数据 库 ， 包 含 了 用 户 名 、 密 码 、 访 问 许可 等 内 容 。 认 证 可 以 有 很 多 类 型 ， 有 些 认 证 是 
对 用 户 的 访问 权限 进行 规定 ， 有 些 是 对 广播 实时 数据 流 的 编码 器 进行 鉴别 。 对 于 不 同 的 认 
证 类 型 ， 需 要 使 用 不 同 的 用 户 账号 数据 库 。 表 23-1 列 出 了 系统 预定 义 的 用 户 账 号 数据 库 。 
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图 23-14 访问 控制 设置 界面 


表 23-1 Helix 预定 义 的 用 户 账号 数据 库 


名 称 用 途 目录 名 
Admin Basic 用 于 认证 Helix 管理 员 adm_b db 
CDist Basic 向 其 他 Helix 服务 器 发 布 内 容 时 ， 对 读 取 内 容 的 服务 器 进行 认证 cdi b db 
Content RN5 对 访问 Helix 服务 器 流 数 据 的 用 户 进行 认证 conr db 


Encoder Basic 以 Basic 认证 方式 对 使 用 Helix 服务 器 发 送 现场 流 的 用 户 进行 认证 enc_b db 
Encoder Digest | 以 Digest 认证 方式 对 使 用 Helix 服务 器 发 送 现场 流 的 用 户 进行 认证 | enc_w db 
Encoder RN5 以 RN5 认证 方式 对 使 用 Helix 服务 器 发 送 现场 流 的 用 户 进行 认证 enc r db 

PlayerContent 通过 校 验 播 放 器 的 GUID 〈 全 球 唯一 标识 符 ) 决定 是 否 允 许 访问 con p db 


对 于 有 限 规模 的 认证 , 例如 说 几 百 个 用 户 , 可 以 使 用 预定 义 的 文件 形式 的 平面 数据 库 ， 
这 样 可 以 省 去 有 关 与 专业 数据 库 连 接 的 配置 。 但 对 于 大 规模 的 认证 ， 还 是 应 该 使 用 专业 数 
据 库 。Helix 提供 了 对 MySQL 数据 库 的 直接 支持 ， 还 通过 ODBC 等 方式 提供 了 对 其 他 类 
型 数据 库 的 支持 。 

管理 用 户 账号 数据 库 的 界面 如 图 23-15 所 示 , 它 是 通过 选择 SECURITY|User Databases 
命令 出 现 的 。 左 边 的 列表 框 中 列 出 账号 数据 库 的 名 称 ， 右 边 列 出 了 所 选 账号 数据 库 的 具体 
设置 。 用 户 可 以 通过 列表 框 上 的 加 图 标 添加 自己 的 账号 数据 库 ， 或 者 通过 加 图标 删除 选中 
的 账号 数据 库 ， 以 及 通过 园 图 标 复制 选中 的 账号 数据 库 。 

单 击 了 园 图 标 后 ， 将 在 列表 框 中 出 现 名 为 Databasel 的 数据 库 ， 如 图 23-16 所 示 ， 此 
时 需要 在 右边 进行 数据 库 类 型 和 位 置 的 设置 。 数据库 类 型 可 以 是 Flat File、 ODBC、mySQL 
或 RN5 DB Wrapper， 如 果 选 择 Flat File， 则 只 需 在 安装 目录 下 指定 一 个 目录 名 即 可 ， 如 
图 23-15 所 示 。 如 果 选 择 了 其 他 3 种 类 型 ， 则 需要 做 与 相应 数据 库 的 连接 设置 ， 这 些 设 置 
包括 数据 库 名 称 、 表 名 称 、 可 选 的 用 户 名 和 密码 等 。 图 23-16 所 示 的 是 有 关 ODBC 的 连接 
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配置 ， 此 时 要 求 主机 已 经 做 好 了 有 关 ODBC 的 设置 。 


User Databases 
Databases OD Edit patabase Name 
Admin_Basic a 
CDist_Basic Database Type 
Content_RNS 
Encoder_Basic ae 
Encoder_Digest Database File 
Encoder_RN5 srhelix severnam Db db >User Database: ne 
Pore aniont Nusrhelix_serverladm_b_db a ases 
PlaylistMan_Basic a 
Bal 
[api | naset | 国 hoo nee: | 
图 23-15 用 户 账号 数据 库 设 置 图 23-16 添加 一 个 用 户 账号 数据 库 


23.4.3 ”认证 域 


认证 域 包含 了 存放 用 户 名 和 密码 的 数据 库 以 及 用 于 验证 用 户 身 份 的 认证 协议 。 认 证 协 
议 与 RTSP 等 流 媒 体 协 议 并 不 相关 ， 它 定义 了 用 户 密码 的 存放 方式 等 内 容 ， 例 如 ， 可 以 使 
用 基本 的 加 密 协 议 ， 也 可 以 使 用 只 用 于 Real Players 的 更 加 安全 的 协议 。Helix 支持 以 下 几 
种 认证 方式 。 

1. Basic 方式 


在 Basic 方式 中 ， 客 户 端 采用 Basic 64 算法 对 用 户 名 和 密码 进行 编码 ， 并 在 Internet 等 
公 网 上 传送 。Helix 服务 器 收 到 认证 数据 后 ， 对 用 户 名 和 密码 进行 解码 ， 再 和 文件 或 关系 数 
据 库 中 以 明文 方式 存储 的 用 户 名 和 密码 进行 比较 。 除 了 Real Player 外 ，Basic 认证 方式 还 
可 以 在 QuickTime Player 中 使 用 。 


2. Digest 方式 


在 Digest 方式 中 ， 客 户 端 和 Helix 服务 器 之 间 按 事先 规定 的 某 种 加 密 算法 对 密码 进行 
加 密 和 解密 ， 使 密码 的 明文 不 在 网 上 传输 。 因 此 ， 即 使 通过 Internet 等 公 网 进行 传输 ， 它 
也 是 安全 的 。 另 外 ， 密 码 在 数据 库 中 存放 时 ， 也 是 加 密 后 的 密 文 。Windows 的 媒体 播放 器 
就 采用 这 种 认证 方式 向 Helix 服务 器 发 送 认证 信息 。 


3. RN5 方 式 


RN5 的 全 称 是 Real System 5.0, 是 在 RealPlayer 5.0 或 以 后 版 本 的 播放 器 中 使 用 的 认证 
方式 。RN5 比 Basic 方式 更 加 安全 ， 与 RealWorks 公司 的 产品 结合 更 加 紧密 ， 如 果 用 户 的 
播放 器 只 能 使 用 RealPlayer 5.0 及 以 上 的 版 本 ， 使 用 这 种 方式 最 为 合适 。 


4. NTLM 方式 


NTLM 的 全 称 是 Windows NT Lan Manager 方 式 ,一 般 用 在 基于 Windows 的 内 部 网 ， 
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可 以 让 Helix 服务 器 使 用 现 有 的 Windows NT 用 户 数据 库 ， 并 且 使 用 NTFS 文件 的 访问 
许可 。 使 用 这 种 方式 的 前 提 是 Helix 服务 器 必须 在 运行 Windows NT 操作 系统 的 主机 上 


在 Helix 服务 器 的 管理 界面 中 ， 可 以 对 认证 域 进行 管理 ， 包 括 添 加 、 删 除 认证 域 等 操 
作 ， 也 可 以 改变 每 一 个 认证 域 的 设置 , 包括 改变 认证 方式 和 用 户 账 号 数据 库 等 内 容 。 另 外 ， 
管理 员 还 可 以 列 出 、 添 加 、 删 除 域 中 的 用 户 ， 以 及 改变 用 户 的 密码 。 在 Helix 服务 器 的 默 


认 配 置 中 ， 已 经 事先 定义 了 如 表 23-2 所 示 的 认证 域 。 
表 23-2 ”Helix 服务 器 预定 义 的 认证 域 


名 称 认证 对 象 ID 协议 | 数据 库 
SecureAdmin Helix 管理 员 <servermame>. AdminRealm Basic Admin Basic 
读 取 流 b 
SecureCDist Ee 光 用 所 的 基 他 <Servername>.CDistRealm Basic CDist Basic 
Helix 服务 器 
SecureContent 读 取 流 数据 的 普通 用 户 “| <Servername>.ContentRealm | RN5 Content RN5 
SecureRBSEnco | 来 自 Helix 产品 的 直播 | <Servername>.RBSEncoderRe 
Si Basic Encoder Basic 
der 数据 流 alm = 
SecureWMEnco | 来 自 Windows 产品 的 | <Servername>.WMEncoderRe 光环 和 二 ee 
der 直播 数据 流 alm , iis 


通过 选择 SECURITYIAuthentication 命令 可 以 对 认证 域 进行 管理 ， 此 时 ， 左 边 的 列表 
框 中 列 出 了 预先 创建 的 表 23-2 所 示 的 认证 域名 称 , 右边 列 出 了 所 选 认 证 域 的 具体 设置 ， 如 
图 23-17 所 示 ， 图 中 还 列 出 了 认证 方式 的 可 用 选项 。 用 户 可 以 通过 列表 框 上 的 加 图 标 添 加 
自己 的 账号 数据 库 ， 或 者 通过 回 图 标 删 除 选中 的 账号 数据 库 ， 以 及 通过 回 图 标 复制 选中 的 


账号 数据 库 。 


单 击 加 图 标 ， 将 在 列表 框 中 出 现 名 为 Realml 的 认证 域 ， 如 图 23-18 所 示 ， 此 时 需要 
在 右边 设置 认证 域 的 ID、 认 证 方式 、 用 户 账号 数据 库 等 内 容 。 图 23-18 还 列 出 了 可 用 的 用 


户 账号 数据 库 ， 它 们 是 在 23.4.2 节 的 User Databases 菜单 中 创建 的 。 


Authentication 


Authentication Realms DOD EdiRealm Descripion 
SeCUreAdmin SecureAdmin a 
SecureCDist Realm ID = Authentication 
SecureContent 
四 EdReam Descrpton 
SecureEncoder A a SD nes a 
SecurepPlaylistManager Authentication Protocol RealmiID 
SecureRBSEncoder Basic v 
SecureWMEncoder The Basic, RealSystem 5. nd Digest Authenticaton Protocol 
authentication protocols 0 a user C 
database; Windows NT Lan Manager 
authentication requires a Provider and 
optionaly, a Group name 
Ee 
Database Ce 
Jser Managem ampasie v 
图 23-17 认证 域 设置 图 23-18 添加 一 个 认证 域 


当选 中 了 某 一 认证 域 后 ， 还 可 以 通过 图 23-17 左下 角 的 链接 对 用 户 进 


行 管理 操作 。 例 


如 ， 要 在 SecureAdmin 认证 域 中 创建 一 个 用 户 ， 可 以 单 击 Add a User to Realm 链接 ， 将 出 
现 如 图 23-19 所 示 的 对 话 框 ， 要 求 输入 用 户 名 和 密码 。 由 于 SecureAdmin 认证 域 对 应 的 用 
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户 账号 数据 库 是 Admin Basic， 而 Admin_ Basic 对 应 的 数据 库 是 以 文件 形式 存在 的 ， 位 置 
是 adm_b db 目录 ， 因 此 ， 此 处 创建 的 用 户 将 会 在 adam_b db 目录 中 出 现 。 

如 果 要 删除 认证 域 中 的 某 一 用 户 ， 可 以 单 击 Remove a User from Realm 链接 ， 将 出 现 
图 23-20 所 示 对 话 框 。 此 时 ， 需 要 提供 要 删除 的 用 户 的 名 称 ， 然 后 单 击 Ok 按钮 即 可 。 另 
外 ， 如 果 单 击 了 Change User Password 和 Browse Users in Realm 链接 ， 将 出 现 如 图 23-21 
和 图 23-22 所 示 的 对 话 框 ， 此 时 可 以 修改 用 户 密码 或 列 出 用 户 账号 数据 库 中 的 用 户 。 


[5] Add a User to Realm - Konqueror 


B Remove a User from Realm - 


8 


8 


Helix Administr 


人 Realm localhosLAdminRealm Hel ix AAUminist 
User Name 
ier 1 
Password Realm localhostAdminRealm 
Confirm Password UserName | 
IE [or eaneol| 
《< < <> 
图 23-19 用 于 创建 用 户 的 对 话 框 图 23-20 用 于 删除 用 户 的 对 话 框 


目 Change User Password - Konqueror 四 
SI 


Helix” Administf 
Change Password ] 


DB Browse Users in Realn 


Realm localhost AdminRealm 


User Name 
New Password localhost.AdminRealm 
Confirm New Password op | 
or [eanee!| > 
<[ -Je < > ‘<C> 
图 23-21 修改 用 户 密码 的 对 话 框 图 23-22 浏览 所 有 用 户 的 对 话 框 


以 上 介绍 了 如 何 对 Helix 服务 器 的 认证 域 进行 管理 ,23.4.4 节 继 续 介绍 如 何 利用 认证 域 
对 Helix 服务 器 上 的 资源 进行 保护 。 


23.4.4 资源 保护 


在 Helix 服务 器 中 ， 如 果 需 要 保护 某 些 目录 中 的 流 媒体 资源 ， 防 止 用 户 的 任意 访问 ， 
可 以 定义 资源 保护 规则 ， 此 时 ， 用 户 要 通过 认证 后 才能 访问 这 些 资 源 。 例如， 默认 情况 下 ， 
Helix 服务 器 定义 了 一 条 SecureUserContent 规则 ， 使 用 SecureContent 认证 域 对 安装 目录 下 
的 /secure 目录 进行 保护 。 当 用 户 提交 的 URL 的 路 径 指 向 该 目录 时 ， 将 要 求 用 户 输入 用 户 
名 和 密码 进行 认证 ， 通 过 后 才 人 允许 访问 流 媒体 资源 。 

除了 SecureUserContent 规则 外 ，Helix 服务 器 还 定义 了 SecureLiveContent 和 
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SecurePlayerContent 两 条 保护 规则 ， 前 者 使 用 SecureContent 认证 域 ， 对 /broadcast/secure/ 
路 径 进行 保护 ， 这 个 目录 一 般 用 于 存放 直播 流 。 后 者 是 对 全 球 唯一 的 流 媒 体 播放 器 ID 进 
行 认 证 ， 受 保护 的 目录 是 /secure/player。 
通过 选择 SECURITY|Commerce 命令 将 出 现 如 图 23-23 所 示 的 界面 ， 此 时 可 以 对 保护 
规则 进行 管理 。 其 中 ， 左 上 方 的 列表 框 中 列 出 了 当前 的 保护 规则 ， 右 边 是 所 选 保护 规则 的 
具体 内 容 ， 含 义 如 下 : 
口 Edit Rule Name 文本 框 列 出 了 所 选 规 则 的 名 称 ， 可 以 进行 修改 。 
口 Protected Path 文本 框 用 于 设置 受 保护 的 目录 路 径 ， 可 以 进行 修改 。 
口 User Permissions Database 下 拉 列 表 框 用 于 确定 用 户 访问 权限 数据 库 ， 里 面 列 出 了 
在 23.4.2 节 中 创建 的 用 户 账号 数据 库 , 也 可 以 选择 Do Not Evaluate User Permissions 
关闭 权限 功能 ， 此 时 ， 每 个 用 户 都 拥有 全 部 的 权限 。 
口 Credential Type 下 拉 列 表 框 用 于 确定 凭据 类 型 ， 如 果 选 择 Use User Authentication， 
表示 使 用 用 户 名 和 密码 进行 认证 ， 如 果 选 择 Use Player Validation， 表 示 使 用 播放 


器 的 ID 进行 认证 。 
口 Realm 下 拉 列 表 框 用 于 确定 认证 域 , 里 面 列 出 了 23.4.3 节 中 创建 的 认证 域 , 必须 要 
选择 一 个 。 


口 Allow Duplicate User IDs 下 拉 列 表 框 用 于 确定 是 否 允 许多 个 播放 器 同时 使 用 同一 
个 用 户 账号 进行 登录 ， 可 以 选择 Yes 或 No。 

以 上 是 选择 了 使 用 用 户 名 和 密码 进行 认证 的 情况 。 如 果 某 一 规则 在 Credential Type 下 
拉 列 表 框 中 选择 的 是 Use Player Validation 选项 ， 那 么 界面 将 发 生变 化 ， 如 图 23-24 所 示 。 
Realm 和 Allow Duplicate User IDs 将 不 再 出 现 , 代替 它们 的 是 一 个 Redirect Unauthenticated 
Players 链接 ， 它 的 作用 是 如 果 认 证 不 能 通过 时 ， 将 重 定向 到 哪 一 个 URL。 

此 外 ， 如 果 选 择 了 Use Player Validation 选项 ， 下 面 的 Player GUID Databases 列表 框 将 
起 作用 ， 如 图 23-24 所 示 ， 列 表 框 内 列 出 了 现 有 的 GUID 数据 库 ， 右 边 列 出 了 数据 库 的 具 
体 设 置 。 其 中 ，Player Database 用 于 选择 一 个 在 23.4.2 节 中 创建 的 用 户 账号 数据 库 ，Player 
Registration Prefix 表示 用 户 注册 播放 器 的 GUID 使 用 的 URL 路 径 前 级 。 


Commerce 

Commerce Rules BHD sdtRule Name 

SecureLiveContent a 

SecurePlayerContent protected Path 

SecureUserContent RICE a 
User Permissions Database 
Content_RNS ~ 
Credential Type 
Use User Authentication ~ 
Jser ss a Rea 
SecureContent ~ 
Alow Duplicate Userps 
No ~ 

Player GUID Databases BD EditDescripion 

PlayerConteniRegistration a Player GUID Dasabases BO emoescipton 
Player Regisvation Pretx CEI Pve Conenieniiaie a 
register a a 
Player Database 
PlayerContent ~ 

mt 一 二 =、 

23-23 ”设置 保护 规则 (1) 图 23-24 设置 保护 规则 (2) 
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如 果 在 User Permissions Database 下 拉 列 表 框 中 选择 了 某 一 个 用 户 账号 数据 库 ， 还 可 以 
使 用 图 23-23 和 图 23-24 左边 Content Access 下 面 的 链接 对 访问 许可 进行 管理 .如 果 单 击 Grant 
User Permission 链接 ， 将 出 现 如 图 23-25 所 示 的 对 话 框 ， 此 时 可 以 授予 许可 给 用 户 。 其 中 ， 
在 User Name 后 的 文本 框 内 可 以 输入 用 户 名 ，Path Type 处 可 以 选择 是 目录 或 文件 ，Path 处 
输入 具体 的 目录 或 文件 名 ，Access Type 处 可 以 选择 许可 类 型 ， 具 体 选 项 及 含义 如 下 所 示 。 

口 Event: 允许 用 户 无 限期 地 访问 。 

口 Calendar: 指定 一 个 到 期 时 间 ， 超 过 该 时 间 后 ， 用 户 将 不 能 访问 指定 的 资源 。 

口 Duration: 指定 一 个 以 秒 为 单位 的 时 间 长 度 ， 超 过 该 时 间 后 ， 用 户 将 不 能 访问 指定 

的 资源 。 

口 Credit: 在 访问 日 志 中 记录 该 用 户 的 访问 总 时 长 。 

如 果 单 击 Edit User Permission 链接 ， 将 出 现 图 23-26 所 示 的 对 话 框 ， 此 时 可 以 对 用 户 
的 到 期 时 间或 允许 时 长 进行 修改 ， 具 体操 作 方 法 可 根据 窗口 中 的 提示 进行 。 此 外 还 可 以 单 
击 Revoke User Permission 和 Revoke All Permissions 链接 删除 某 一 用 户 的 许可 或 所 有 用 户 
的 许可 ， 其 界面 分 别 如 图 23-27 和 图 23-28 所 示 。 


目 


Edit Permission - Konqueror 


四 Grant User Permission - Konqueror 
人 


。 62 
Helix” ii 
Helix” Administ 


t Permission 


Rule SecureLiveContent 
Edit Permission 


User Name Rule 
Path Type Directory ~ User Name 二 
Path broadcastsecure/ a PathType File v 
The path must begin wah 
“broadcasvsecurer” and end wih a Puih 


Jorward slash or a filename (when Path 
Type is set to le) 
New Expiration Date 


Im mm 
Access Type 。 Event ~ eew Pane 


ChangeTime Add ~ 
(Seconds) 


hange Time_ 

EE 人 [elose | 

‘> kh 
图 23-25 ”授予 用 户 访问 许可 的 对 话 框 图 23-26 ”修改 用 户 访问 许可 的 对 话 框 


BB Revoke User Permission - Konqueror 


DB Revoke All Permissions From User - Konqu 


evoke Permission 
Rule SecureLiveContent 


User Name 


Path Type File ~ Revoke All Permissions HELP 
Realm SecureLiveContent 


UserName CE 
| ox [cance!| 


23-27 ”删除 单个 用 户 访问 许可 的 对 话 框 
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图 23-28 删除 所 有 用 户 访问 许可 的 对 话 框 
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以 上 是 有 关 Helix 服务 器 资源 保护 的 设置 ， 管 理 员 可 以 根据 需要 限制 用 户 对 资源 的 访 
问 ， 访 问 限制 主要 是 指 时 间 上 的 限制 。 


23.3 水 结 


随 着 Intemet 带宽 的 不 断 增加 ， 视 频 服务 的 需求 也 越 来 越 多 。 本 章 主要 介绍 了 有 关 架 
设 流 媒体 视频 服务 器 的 内 容 ， 首 先 讲述 的 是 流 媒体 传输 的 基本 原理 以 及 实时 流 媒 体 协议 
RTSP; 然后 以 Helix Server 软件 为 例 ， 介 绍 流 媒体 服务 器 的 架设 方法 ， 包 括 Helix Server 
的 安装 、 运 行 和 使 用 等 内 容 ; 最 后 还 介绍 了 通过 Helix Server 本 身 提 供 的 Web 界面 对 它 进 
行 管理 和 配置 的 方法 。 
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